CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

04/01/2013

Dos vulnerabilidades remotas en Asterisk

Se han corregido dos vulnerabilidades en Asterisk tras sendos boletines publicados ayer (AST-2012-014 y AST-2012-015), que podrían permitir a atacantes remotos provocar denegaciones de servicio, afectando tanto a las versiones 1.8.x y LTS, como 10.x y 11.

Riesgo: Crítico

Se han corregido dos vulnerabilidades en Asterisk tras sendos boletines publicados ayer (AST-2012-014 y AST-2012-015), que podrían permitir a atacantes remotos provocar denegaciones de servicio, afectando tanto a las versiones 1.8.x y LTS, como 10.x y 11.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

En el boletín AST-2012-014, Walter Doekes reporta una vulnerabilidad (CVE-2012-5976) relacionada con una falta de políticas de seguridad al no dimensionar correctamente los tamaños de los mensajes recibidos en diferentes streams; ya que en el caso de sesiones SIP o HTTP sería posible sobrecargar la pila de mensajes al concatenar en una misma sesión múltiples paquetes TCP especialmente manipulados. Esto conseguiría la denegación de servicio sin necesitar una sesión autenticada. En cambio las sesiones SIP bajo el protocolo UDP no se verían afectadas. Y en el caso de una sesión XMPP sería necesario establecer una sesión previamente para provocar la vulnerabilidad.

Mientras tanto, en el boletín AST-2012-015 Russell Bryant reporta una vulnerabilidad (CVE-2012-5977) relacionada con la caché interna del estado de dispositivo y los datos almacenados en ella, sean o no un dispositivo físico para Asterisk. Debido a una incorrecta gestión de las políticas de seguridad, un atacante en un entorno configurado para realizar llamadas anónimas podría agotar los recursos de sistema añadiendo datos especialmente manipulados a la caché, consiguiendo aumentar su tamaño y provocando la denegación de servicio.

Sistemas Afectados:
Asterisk 1.8
Asterisk 10.x
Asterisk 11.x
Referencias:

CVE-2012-5976, CVE-2012-5977

Solución:
Para corregir estos problemas Digium ha publicado las versiones 1.8.19.1, 10.11.1 y 11.1.1 disponible desde la página oficial de descarga:
http://www.asterisk.org/downloads
Notas:
Crashes due to large stack allocations when using TCP
http://downloads.asterisk.org/pub/security/AST-2012-014.html
Denial of Service Through Exploitation of Device State Caching

http://downloads.asterisk.org/pub/security/AST-2012-015.html

Fuente: Hispasec una-al-día

CSIRT-CV