Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/05/2012
Solucionadas dos vulnerabilidades en Asterisk
Se han corregido dos vulnerabilidades en Asterisk, en sus versiones 1.8.x y 10.x, que podrían permitir a atacantes remotos provocar denegaciones de servicio.Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
La primera de las vulnerabilidades, con identificador AST-2012-007 (CVE-2012-2947), se basa en el controlador de canal "IAX2". Un atacante remoto podría forzar a la aplicación a intentar usar un puntero no válido pudiendo hacer que dejase de funcionar. Esta vulnerabilidad fue reportada en marzo de 2012.
La segunda, con identificador AST-2012-008 (CVE-2012-2948), trata de un error de referencia a puntero nulo en el controlador de canal "SCCP" que, usado por un atacante remoto, podría causar que el servicio dejase de estar disponible para los usuarios legítimos. Esta fue reportada el 22 de mayo.
Sistemas Afectados:Asterisk versiones anteriores a 1.8.12.1 y 10.4.1.
Referencias:CVE-2012-2948, CVE-2012-2947
Solución:Descargar los parches de la web oficial de Asterisk.
Notas:Asterisk Project Security Advisory - AST-2012-007
Asterisk Project Security Advisory - AST-2012-008
Hispasec Una al Día