Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/03/2012
Dues vulnerabilitats a Asterisk
S’han corregit dos vulnerabilitats en Asterisk, que podrien permetre a atacants remots provocar denegacions de servici o executar codi arbitrari.Asterisk és una implementació d’una central telefònica (PBX) de codi obert. Com qualsevol PBX, es poden connectar un nombre determinat de telèfons per a fer telefonades entre si i inclús connectar-los a un proveïdor de VoIP per a realitzar comunicacions amb l’exterior. Asterisk és àmpliament usat i inclou un gran nombre d’interessants característiques: bústia de veu, conferències, IVR, distribució automàtica de telefonades, etc. A més, el programari creat per Digium està disponible per a plataformes Linux, BSD, MacOS X, Solaris i Microsoft Windows.
La primera de les fallades afecta les versions 1.4.x, 1.6.2.x, 1.8.x i 10.x. El problema, de denegació de servici, només és explotable en certes circumstàncies si el servidor utilitza l’aplicació Milliwatt.
La segona vulnerabilitat, que afecta les versions 1.8.x i 10.x, residix en un desbordament de memòria intermèdia basat en pila en la interfície HTTP Manager al rebre dades HTTP Digest Authentication específicament manipulades. Un atacant remot pot aprofitar esta vulnerabilitat per a executar codi arbitrari.
Sistemes Afectats:Asterisk 1.x y 10.x.
Referències:None
Solució:Per a corregir estos problemes, Digium ha publicat les versions 1.4.44, 1.6.2.23, 1.8.10.1 i 10.2.1.
Notes: