Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/12/2013

Boletines de seguridad para Asterisk

Asterisk ha publicado los boletines AST-2013-006 y AST-2013-007 que solucionan dos vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio o elevar sus privilegios.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primero de los problemas (AST-2013-006) reside en un desbordamiento de búfer en el tratamiento de mensajes SMS de 16 bits con un valor de longitud específicamente manipulado. Por otra parte (AST-2013-007) un usuario remoto autenticado podría acceder a funciones dialplan a través de protocolos de control externos y provocar que determinadas funciones dialplan modifiquen archivos arbitrarios o ejecutar comandos arbitrarios en los sistemas afectados.

Sistemas Afectados:

Ambos problemas afectan a Asterisk Open Source 1.8.x en adelante y las ramas 10.x y 11.x, Certified Asterisk 1.8.x y 11.x.

Referencias:

None

Solución:

Se han publicado las versiones Asterisk Open Source 1.8.24.1, 10.12.4, 11.6.1; Certified Asterisk 1.8.15-cert4, 11.2-cert3 y Asterisk with Digiumphones 10.12.4-digiumphones que solucionan dichos problemas.

Notas:

• Asterisk Manager User Dialplan Permission Escalation
• Buffer Overflow when receiving odd length 16 bit SMS message

 

CSIRT-CV