CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/12/2013

Butlletins de seguretat per a Asterisk

Asterisk ha publicat els butlletins AST-2013-006 i AST-2013-007 que solucionen dos vulnerabilitats que podrien permetre a atacants remots provocar denegacions de servici o elevar els seus privilegis.

Risc: Alt

Asterisk és una implementació d’una central telefònica (PBX) de codi obert. Com qualsevol PBX, es poden connectar un nombre determinat de telèfons per a fer telefonades entre si i inclús connectar-los a un proveïdor de VoIP per a realitzar comunicacions amb l’exterior. Asterisk és molt usat i inclou un gran nombre d’interessants característiques: bústia de veu, conferències, IVR, distribució automàtica de telefonades, etc. A més, el programari creat per Digium està disponible per a plataformes Linux, BSD, MacOS X, Solaris i Microsoft Windows.

El primer dels problemes (AST-2013-006) residix en un desbordament de buffer en el tractament de missatges SMS de 16 bits amb un valor de longitud específicament manipulat. D’altra banda (AST-2013-007), un usuari remot autenticat podria accedir a funcions dialplan a través de protocols de control externs i provocar que determinades funcions dialplan modifiquen fitxers arbitraris o executen comandos arbitraris en els sistemes afectats.

Sistemes Afectats:

Ambdós problemes afecten Asterisk Open Source 1.8.x en avant i les branques 10.x i 11.x, Certified Asterisk 1.8.x i 11.x.

Referències:

None

Solució:

S’han publicat les versions Asterisk Open Source 1.8.24.1, 10.12.4, 11.6.1, Certified Asterisk 1.8.15-cert4, 11.2-cert3 i Asterisk with Digiumphones 10.12.4-digiumphones que solucionen els dits problemes.

Notes:

 

Font: Hispasec una-al-día

CSIRT-CV