CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

15/12/2014

Denegación de servicio en Asterisk

Asterisk ha publicado un boletín de seguridad (AST-2014-019) para solucionar una vulnerabilidad que podría permitir a atacantes remotos provocar condiciones de denegación de servicio.

Riesgo: Medio

El problema reside en el tratamiento de datos WebSocket creados de específicamente con una longitud de carga útil igual a 0, que provoca un fallo en el módulo res_http_websocket y provoca cla caída del servicio. 

Sistemas Afectados:

Este problema afecta a las ramas 11.x, 12.x y 13.x de Asterisk Open Source; así como a Certified Asterisk 11.6.

Referencias:

None

Solución:

Como contramedida se recomienda desactivar el servidor http en caso de que no sea necesario. Se han publicado las versiones Asterisk Open Source 11.14.2, 12.7.2 y 13.0.2; y Certified Asterisk 11.6-cert9 que solucionan los problemas descritos. También existen parches individuales para solucionar cada una de las vulnerabilidades, disponibles a través del boletín publicado

Notas:

Remote Crash Vulnerability in WebSocket Server
http://downloads.asterisk.org/pub/security/AST-2014-019.html

Fuente: Hispasec una-al-día

CSIRT-CV