CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/07/2012

Diversas vulnerabilidades de denegación de servicio en Asterisk

Se han detectado 2 vulnerabilidades en Asterisk, un programa de software libre bajo la licencia GPL que proporciona funcionalidades habituales de una central telefónica (PBX)

Riesgo: Medio

Una de las vulnerabilidades consiste en la posibilidad de que atacantes puedan colapsar Asterisk usando todos los puertos RTP, provocando una denegación de servicio. Esto es debido a un error en el sistema de invitaciones, en que si Asterisk envía una invitación a través del protocolo SIP, pero no se recibe una respuesta definitiva, los puertos RTP nunca se liberarían, imposibilitando que entrasen llamadas si se colapsan todos los puertos RTP.
La otra vulnerabilidad es provocada por un error en el sistema voicemail, que se basa en la posibilidad de que una cuenta se manipule a la vez desde dos dispositivos, y la memoria se libere dos veces, provocando el cierre inesperado de la aplicación.

Sistemas Afectados: Referencias:

CVE-2012-3812, CVE-2012-3863

Solución:

Es recomendable actualizar el sistema con los 4 parches que Asterisk ha publicado y que se pueden encontrar en los siguientes vínculos:
certified-asterisk-1.8.11-cert4
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/certified-asterisk-1.8.11-cert4-summary.html
asterisk-1.8.13.1
http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk-1.8.13.1-summary.html
asterisk-10.5.2
http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk-10.5.2-summary.html
asterisk-10.5.2-digiumphones:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk-10.5.2-digiumphones-summary.html

Notas:

Asterisk Project Security Advisory - AST-2012-010:
http://downloads.asterisk.org/pub/security/AST-2012-010.pdf

Asterisk Project Security Advisory - AST-2012-011
http://downloads.asterisk.org/pub/security/AST-2012-011.pdf

Fuente: CCN-CERT

CSIRT-CV