Asterisk ha lanzado dos boletines de seguridad, AST-2013-004 y AST-2013-005, que solucionan dos vulnerabilidades que podrían ser aprovechados por un atacante remoto para causar denegación de servicio.
¿ Pero qué es Asterisk ?
- Es una implementación de una central telefónica (PBX) de código abierto que puede conectar varios teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior.
- También es muy popular, porque además de ser de código abierto, añade interesantes características como distribución automática de llamadas, buzón de voz, conferencias, IVR, etc. La aplicación está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
Recursos afectados:
- El primer boletín AST-2013-004 informado por Colin Cuthbert corrige una vulnerabilidad que afecta a Asterisk Open Source 1.8.17.0 en adelante y toda la rama 11.x, Certified Asterisk 1.8.15 y 11.2.
- El segundo boletín AST-2013-005 informado por Walter Doekes soluciona otra vulnerabilidad que afecta a Asterisk Open Source 1.8.x , 10.x, 11.x ; Certified Asterisk 1.8.15 , 11.2 y Asterisk with Digiumphones 10.x-digiumphones.
Impacto en el Sistema de las vulnerabilidades
Las dos vulnerabilidades podrían permitir a un atacante remoto causar denegación de servicio.
Recomendación:
Están disponibles las versiones siguientes que solucionan dichas vulnerabilidades:
- Asterisk Open Source 1.8.23.1, 10.12.3, 11.5.1
- Certified Asterisk 1.8.15-cert3, 11.2-cert2
- Asterisk with Digiumphones 10.12.3-digiumphones
Más información:
- Remote Crash From Late Arriving SIP ACK With SDP http://downloads.asterisk.org/pub/security/AST-2013-004.pdf
- Remote Crash when Invalid SDP is sent in SIP Request http://downloads.asterisk.org/pub/security/AST-2013-005.pdf
- Una al día (Boletines de seguridad para Asterisk) http://unaaldia.hispasec.com/2013/08/boletines-de-seguridad-para-asterisk.html
Fuente: Hispasec