CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

29/08/2013

Butlletins de seguretat per a Asterisk

Asterisk ha publicat els butlletins que solucionen dos vulnerabilitats que podrien permetre a atacants remots causar denegacions de servici.

Risc: Mitjà

Asterisk és una implementació d’una central telefònica (PBX) de codi obert. Com en qualsevol PBX, s’hi pot connectar un nombre determinat de telèfons per a fer telefonades entre si i fins i tot connectar-los a un proveïdor de VoIP per a comunicacions amb l’exterior. Asterisk és àmpliament usat i inclou un gran nombre de característiques interessants: bústia de veu, conferències, IVR, distribució automàtica de telefonades, etc. A més, el programari creat per Digium està disponible per a plataformes Linux, BSD, MacOS X, Solaris i Microsoft Windows.

Es detallen els butlletins a continuació:

Les dos fallades podrien ser aprofitades per un atacant remot per a causar denegació de servici.

Sistemes Afectats: Referències:

CVE-2013-5641, CVE-2013-5642

Solució:

S’han publicat les versions Asterisk Open Source 1.8.23.1, 10.12.3, 11.5.1; Certified Asterisk 1.8.15-cert3, 11.2-cert2 i Asterisk with Digiumphones 10.12.3-digiumphones que solucionen estos problemes.

 

Notes:

AST-2013-004: Remote Crash From Late Arriving SIP ACK With SDP
AST-2013-005: Remote Crash when Invalid SDP is sent in SIP Request
Hispasec una-al-dia

Font: Hispasec una-al-día

CSIRT-CV