Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/03/2012
Dos vulnerabilidades en Asterisk
Se han corregido dos vulnerabilidades en Asterisk, que podrían permitir a atacantes remotos provocar denegaciones de servicio o ejecutar código arbitrario.Se han corregido dos vulnerabilidades en Asterisk, que podrían permitir a atacantes remotos provocar denegaciones de servicio o ejecutar código arbitrario.
Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El primero de los fallos afecta a las versiones 1.4.x, 1.6.2.x, 1.8.x y 10.x. El problema, de denegación de servicio, solo es explotable bajo ciertas circunstancias si el servidor utiliza la aplicación Milliwatt.
La segunda vulnerabilidad, que afecta a las versiones 1.8.x y 10.x, reside en un desbordamiento de buffer basado en pila en la interfaz HTTP Manager al recibir datos HTTP Digest Authentication específicamente manipulados. Un atacante remoto puede aprovechar esta vulnerabilidad para ejecutar código arbitrario.
Sistemas Afectados:Asterisk 1.x y 10.x.
Referencias:None
Solución:Para corregir estos problemas Digium ha publicado las versiones 1.4.44, 1.6.2.23, 1.8.10.1 y 10.2.1.
Notas: