Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/07/2012
Una de las vulnerabilidades consiste en la posibilidad de que atacantes puedan colapsar Asterisk usando todos los puertos RTP, provocando una denegación de servicio. Esto es debido a un error en el sistema de invitaciones, en que si Asterisk envía una invitación a través del protocolo SIP, pero no se recibe una respuesta definitiva, los puertos RTP nunca se liberarían, imposibilitando que entrasen llamadas si se colapsan todos los puertos RTP.
La otra vulnerabilidad es provocada por un error en el sistema voicemail, que se basa en la posibilidad de que una cuenta se manipule a la vez desde dos dispositivos, y la memoria se libere dos veces, provocando el cierre inesperado de la aplicación.
CVE-2012-3812, CVE-2012-3863
Solución:Es recomendable actualizar el sistema con los 4 parches que Asterisk ha publicado y que se pueden encontrar en los siguientes vínculos:
certified-asterisk-1.8.11-cert4
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/certified-asterisk-1.8.11-cert4-summary.html
asterisk-1.8.13.1
http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk-1.8.13.1-summary.html
asterisk-10.5.2
http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk-10.5.2-summary.html
asterisk-10.5.2-digiumphones:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk-10.5.2-digiumphones-summary.html
Asterisk Project Security Advisory - AST-2012-010:
http://downloads.asterisk.org/pub/security/AST-2012-010.pdf
Asterisk Project Security Advisory - AST-2012-011
http://downloads.asterisk.org/pub/security/AST-2012-011.pdf