Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/06/2018
Múltiples vulnerabilidades en productos Asterisk
Asterisk ha publicado dos boletines de seguridad con severidades crítica y baja respectivamente, que podrían permitir a un atacante remoto provocar denegación de servicio o acceder a información confidencial.Riesgo: Crítico
La operativa del atacante sería la de realizar una conexión TLS contra el servicio y desconectarse de forma repentina o enviar un paquete TCP mal formado que provocaría la entrada en bucle infinito del servicio llegando a causar denegación del servicio.
Sistemas Afectados:
- Asterisk Open Source:
- 13.x desde la versión 13.10.0 y anteriores.
- 14.x todas las versiones.
- 15.x todas las versiones.
- Certified Asterisk 13.18 y 13.21 todas las versiones.
CVE-2018-12228,CVE-2018-12227
Solución:Asterisk recomienda actualizar los productos afectados:
- Asterisk Open Source actualizar a las versiones 15.4.1, 13.21.1 y 14.7.7.
- Certified Asterisk actualizar a las versiones 13.18-cert4 y 13.21-cert2.
Fuente: certsi