Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/12/2013
Asterisk és una implementació d’una central telefònica (PBX) de codi obert. Com qualsevol PBX, es poden connectar un nombre determinat de telèfons per a fer telefonades entre si i inclús connectar-los a un proveïdor de VoIP per a realitzar comunicacions amb l’exterior. Asterisk és molt usat i inclou un gran nombre d’interessants característiques: bústia de veu, conferències, IVR, distribució automàtica de telefonades, etc. A més, el programari creat per Digium està disponible per a plataformes Linux, BSD, MacOS X, Solaris i Microsoft Windows.
El primer dels problemes (AST-2013-006) residix en un desbordament de buffer en el tractament de missatges SMS de 16 bits amb un valor de longitud específicament manipulat. D’altra banda (AST-2013-007), un usuari remot autenticat podria accedir a funcions dialplan a través de protocols de control externs i provocar que determinades funcions dialplan modifiquen fitxers arbitraris o executen comandos arbitraris en els sistemes afectats.
Sistemes Afectats:Ambdós problemes afecten Asterisk Open Source 1.8.x en avant i les branques 10.x i 11.x, Certified Asterisk 1.8.x i 11.x.
Referències:None
Solució:S’han publicat les versions Asterisk Open Source 1.8.24.1, 10.12.4, 11.6.1, Certified Asterisk 1.8.15-cert4, 11.2-cert3 i Asterisk with Digiumphones 10.12.4-digiumphones que solucionen els dits problemes.
Notes: