Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/07/2012
Diverses vulnerabilitats de denegació de servici en Asterisk
S’han detectat 2 vulnerabilitats en Asterisk, un programa de programari lliure amb la llicència GPL que proporciona les funcionalitats habituals d’una central telefònica (PBX).Una de les vulnerabilitats consistix en la possibilitat que els atacants puguen col·lapsar Asterisk usant tots els ports RTP i provocar una denegació de servici. Açò és degut a un error en el sistema d’invitacions, en el qual si Asterisk envia una invitació a través del protocol SIP, però no es rep una resposta definitiva, els ports RTP no mai s’alliberarien, cosa que impossibilita que entren telefonades i es col·lapsen tots els ports RTP.
L’altra vulnerabilitat està provocada per un error en el sistema voicemail, que es basa en la possibilitat que un compte es manipule al mateix temps des de dos dispositius, i la memòria s’allibere dos vegades, cosa que provoca el tancament inesperat de l’aplicació.
Sistemes Afectats:
- Asterisk Software Libre 1.8.X
- Asterisk Software Libre 10.X
- Asterisk Business Edition C.3.X
- Certified Asterisk 1.8.11-certX
- Asterisk Digiumphones 10.X.X.-digiumphones
CVE-2012-3812, CVE-2012-3863
Solució:És recomanable actualitzar el sistema amb els quatre pedaços que Asterisk ha publicat i que es poden trobar en els vincles següents:
certified-asterisk-1.8.11-cert4
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/certified-asterisk-1.8.11-cert4-summary.html
asterisk-1.8.13.1
http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk-1.8.13.1-summary.html
asterisk-10.5.2
http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk-10.5.2-summary.html
asterisk-10.5.2-digiumphones:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk-10.5.2-digiumphones-summary.html
Asterisk Project Security Advisory - AST-2012-010:
http://downloads.asterisk.org/pub/security/AST-2012-010.pdf
Asterisk Project Security Advisory - AST-2012-011
http://downloads.asterisk.org/pub/security/AST-2012-011.pdf