Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/08/2013
Asterisk és una implementació d’una central telefònica (PBX) de codi obert. Com en qualsevol PBX, s’hi pot connectar un nombre determinat de telèfons per a fer telefonades entre si i fins i tot connectar-los a un proveïdor de VoIP per a comunicacions amb l’exterior. Asterisk és àmpliament usat i inclou un gran nombre de característiques interessants: bústia de veu, conferències, IVR, distribució automàtica de telefonades, etc. A més, el programari creat per Digium està disponible per a plataformes Linux, BSD, MacOS X, Solaris i Microsoft Windows.
Es detallen els butlletins a continuació:
AST-2013-004: Colin Cuthbertson reporta una fallada en el controlador del canal SIP quan un ACK amb SDP és rebut després que el canal haja sigut acabat, a causa d’assumir incorrectament que el canal sempre estiga present. Afecta d’Asterisk Open Source 1.8.17.0 endavant i tota la branca 11.x, Certified Asterisk 1.8.15 i 11.2.
AST-2013-005: Walter Doekes reporta una vulnerabilitat en el controlador del canal SIP si un SDP és enviat en una petició SIP que definisca descripcions de mitjans de comunicació abans de la informació de connexió. Açò és conseqüència de fer referències d’adreces de sòcol a pesar de no haver-se’n establit. Afecta Asterisk Open Source 1.8.x, 10.x, 11.x, Certified Asterisk 1.8.15, 11.2 i Asterisk with Digiumphones 10.x-digiumphones.
Les dos fallades podrien ser aprofitades per un atacant remot per a causar denegació de servici.
Sistemes Afectats:CVE-2013-5641, CVE-2013-5642
Solució:S’han publicat les versions Asterisk Open Source 1.8.23.1, 10.12.3, 11.5.1; Certified Asterisk 1.8.15-cert3, 11.2-cert2 i Asterisk with Digiumphones 10.12.3-digiumphones que solucionen estos problemes.
Notes:
AST-2013-004: Remote Crash From Late Arriving SIP ACK With SDP
AST-2013-005: Remote Crash when Invalid SDP is sent in SIP Request
Hispasec una-al-dia