Múltiples vulnerabilidades en productos Asterisk

22/06/2018
Asterisk ha publicado dos boletines de seguridad con severidades crítica y baja respectivamente, que podrían permitir a un atacante remoto provocar denegación de servicio o acceder a información confidencial.

Riesgo: Crítico Crítico
Sistemas afectados:
  • Asterisk Open Source:
    • 13.x desde la versión 13.10.0 y anteriores.
    • 14.x todas las versiones.
    • 15.x todas las versiones.
  • Certified Asterisk 13.18 y 13.21 todas las versiones.
Descripción:

La operativa del atacante sería la de realizar una conexión TLS contra el servicio y desconectarse de forma repentina o enviar un paquete TCP mal formado que provocaría la entrada en bucle infinito del servicio llegando a causar denegación del servicio.

Más información

 

Referencias (CVE):
Solución:

Asterisk recomienda actualizar los productos afectados:

  • Asterisk Open Source actualizar a las versiones 15.4.1, 13.21.1 y 14.7.7.
  • Certified Asterisk actualizar a las versiones 13.18-cert4 y 13.21-cert2.
Fuente: certsi