Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/12/2014
Denegació de servici en Asterisk
Asterisk ha publicat un butlletí de seguretat (AST-2014-019) per a solucionar una vulnerabilitat que podria permetre a atacants remots provocar condicions de denegació de servici.El problema residix en el tractament de dades WebSocket creats d’específicament amb una longitud de càrrega útil igual a 0, que provoca una fallada en el mòdul res_http_websocket i provoca la caiguda del servici.
Sistemes Afectats:Este problema afecta les branques 11.x, 12.x i 13.x d’Asterisk Open Source, així com a Certified Asterisk 11.6.
Referències:None
Solució:Com a contramesura es recomana desactivar el servidor de protocol de transferència d'hipertext (HTTP) en el cas que no siga necessari. S’han publicat les versions Asterisk Open Source 11.14.2, 12.7.2 i 13.0.2, i Certified Asterisk 11.6-cert9 que solucionen els problemes descrits. També hi ha parches individuals per a solucionar cada una de les vulnerabilitats, disponibles a través del butlletí publicat.
Notes: