Cabecera-v2-web.jpg

Actualización por tres vulnerabilidades en Asterisk


Asterisk ha publicado actualizaciones de seguridad para solucionar tres vulnerabilidades que podrí­an permitir a atacantes remotos provocar condiciones de denegación de servicio.Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí­ e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior.

Asterisk es ampliamente usado e incluye un gran número de interesantes caracterí­sticas: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primer problema, descrito en el boletí­n AST-2017-002, reside en un desbordamiento de búfer en la capa de transacciones PJSIP. Un usuario remoto puede enviar un paquete SIP con una cabecera CSeq especialmente diseñada y un encabezado Ví­a sin parámetro de ramificación para provocar el desbordamiento de búfer que conlleva la caí­da del servicio.

Otra vulnerabilidad, también en PJSIP reside en un error lógico en el tratamiento de paquetes especí­ficamente manipulados que puede permitir a un atacante remoto provocar la caí­da del servicio.

Por último, un consumo de toda la memoria disponible por el tratamiento de un paquete SCCP a un sistema Asterisk con "chan_skinny" activo, que sea mayor que el tamaño de la cabecera SCCP pero menor que la longitud del paquete especificada en la cabecera.

Afecta a Asterisk Open Source 14.x y 13.x, y a Certified Asterisk 13.13. Se han publicado las versiones Asterisk Open Source 13.15.1 y 14.4.1 y Certified Asterisk 13.13-cert4 que solucionan este problema.


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11