Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/01/2013
Dues vulnerabilitats remotes a Asterisk
S’han corregit dos vulnerabilitats en Asterisk després de sengles butlletins publicats ahir (AST-2012-014 i AST-2012-015), que podrien permetre a atacants remots provocar denegacions de servici que afecten tant les versions 1.8.x i LTS, com 10.x i 11.S’han corregit dos vulnerabilitats en Asterisk després de sengles butlletins publicats ahir (AST-2012-014 i AST-2012-015), que podrien permetre a atacants remots provocar denegacions de servici que afecten tant les versions 1.8.x i LTS, com 10.x i 11.
Asterisk és una implementació d’una central telefònica (PBX) de codi obert. Com qualsevol PBX, es poden connectar un nombre determinat de telèfons per a fer telefonades entre si i inclús connectar-los a un proveïdor de VoIP per a realitzar comunicacions amb l’exterior. Asterisk és àmpliament usat i inclou un gran nombre d’interessants característiques: bústia de veu, conferències, IVR, distribució automàtica de telefonades, etc. A més, el programari creat per Digium està disponible per a plataformes Linux, BSD, MacOS X, Solaris i Microsoft Windows.
En el butlletí AST-2012-014, Walter Doekes reporta una vulnerabilitat (CVE-2012-5976) relacionada amb una falta de polítiques de seguretat al no dimensionar correctament les dimensions dels missatges rebuts en diferents streams; ja que en el cas de sessions SIP o HTTP seria possible sobrecarregar la pila de missatges al concatenar en una mateixa sessió múltiples paquets TCP especialment manipulats. Açò aconseguiria la denegació de servici sense necessitat d'una sessió autenticada. En canvi, les sessions SIP davall el protocol UDP no resultarien afectades. I en el cas d’una sessió XMPP, caldria establir una sessió prèviament per a provocar-ne la vulnerabilitat.
Mentrestant, en el butlletí AST-2012-015 Russell Bryant reporta una vulnerabilitat (CVE-2012-5977) relacionada amb la memòria cau interna de l’estat de dispositiu i els dades emmagatzemades en esta, siguen o no un dispositiu físic per a Asterisk. A causa d’una incorrecta gestió de les polítiques de seguretat, un atacant en un entorn configurat per a realitzar telefonades anònimes podria esgotar els recursos de sistema afegint dades especialment manipulades a la memòria cau, i aconseguir augmentar la seua dimensió i provocar la denegació de servici.
Sistemes Afectats:CVE-2012-5976, CVE-2012-5977
Solució:Per a corregir estos problemes, Digium ha publicat les versions 1.8.19.1, 10.11.1 i 11.1.1 disponible des de la pàgina oficial de descàrrega:
http://downloads.asterisk.org/pub/security/AST-2012-015.html