CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

29/08/2013

Boletines de seguridad para Asterisk

Asterisk ha publicado los boletines que solucionan dos vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio.

Riesgo: Medio

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

Se detallan los boletines a continuación:

AST-2013-004: Colin Cuthbertson reporta un fallo en el driver del canal SIP cuando un ACK con SDP es recibido después de que el canal haya sido terminado, debido a asumir incorrectamente que el canal siempre estuviera presente. Afecta a Asterisk Open Source 1.8.17.0 en adelante y toda la rama 11.x, Certified Asterisk 1.8.15 y 11.2.
AST-2013-005: Walter Doekes reporta una vulnerabilidad en el driver del canal SIP si un SDP es enviado en una petición SIP que defina descripciones de medios de comunicación antes que la información de conexión. Esto es debido a hacer referencias de direcciones de socket a pesar de no haberse establecido. Afecta a Asterisk Open Source 1.8.x , 10.x, 11.x ; Certified Asterisk 1.8.15 , 11.2 y Asterisk with Digiumphones 10.x-digiumphones.

Ambos fallos podrían ser aprovechados por un atacante remoto para causar denegación de servicio.

Sistemas Afectados:

Asterisk Open Source 1.8.x , 10.x, 11.x.
Certified Asterisk 1.8.15 , 11.2.
Asterisk with Digiumphones 10.x-digiumphones.

Referencias:

CVE-2013-5641, CVE-2013-5642

Solución:

Se han publicado las versiones Asterisk Open Source 1.8.23.1, 10.12.3, 11.5.1; Certified Asterisk 1.8.15-cert3, 11.2-cert2 y Asterisk with Digiumphones 10.12.3-digiumphones que solucionan dichos problemas.

Notas:

AST-2013-004: Remote Crash From Late Arriving SIP ACK With SDP
AST-2013-005: Remote Crash when Invalid SDP is sent in SIP Request
Hispasec una-al-dia

Fuente: Hispasec una-al-día

CSIRT-CV