Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
25/01/2012
Denegació de servici en Asterisk a través de SRTP
S’ha solucionat una fallada en la implementació de SRTP (Secure Real-time Transport Protocol), que podria permetre a un atacant provocar una denegació de servici en Asterisk.Asterisk és una implementació d’una central telefònica (PBX) de codi obert. Com qualsevol PBX, es poden connectar un nombre determinat de telèfons per a fer cridades entre si i inclús connectar-los a un proveïdor de VoIP per a fer comunicacions amb l’exterior. Asterisk és usat àmpliament i inclou un gran nombre de característiques interessants: bústia de veu, conferències, IVR, distribució automàtica de cridades, etc. A més, el programari creat per Digium està disponible per a plataformes Linux, BSD, MacOS X, Solaris i Microsoft Windows.
SRTP és la implementació segura (que proporciona encriptació i integritat) de RTP (Real-time Transport Protocol), usat principalment per a l’enviament de flux multimèdia.
La fallada permet a un atacant remot provocar una denegació de servici en el servidor. Per a aconseguir-ho ha de crear una connexió de vídeo segura i que el servidor no tinga suport de vídeo actiu, però sí que haja carregat el mòdul (cap_srtp) de SRTP.
Asterisk Open Source versions 1.8.x i 10.x
Referències:CVE-2012-0885
Solució:Actualitzeu a les versions 1.8.8.2 i 10.0.1, on ja s’ha solucionat este problema.
Notes:http://downloads.asterisk.org/pub/security/AST-2012-001.html
https://code.asterisk.org/code/browse/asterisk/trunk/channels/chan_sip.c?r1=351409&r2=351506
http://secunia.com/advisories/47630/