CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

31/05/2012

Solucionades dos vulnerabilitats en Asterisk

S’han corregit dos vulnerabilitats en Asterisk, en les versions 1.8.x i 10.x, que podrien permetre a atacants remots provocar denegacions de servici.

Risc: Mitjà

Asterisk és una implementació d’una central telefònica (PBX) de codi obert. Com qualsevol PBX, es poden connectar un nombre determinat de telèfons per a fer telefonades entre si i inclús connectar-los a un proveïdor de VoIP per a realitzar comunicacions amb l’exterior. Asterisk és àmpliament usat i inclou un gran nombre d’interessants característiques: bústia de veu, conferències, IVR, distribució automàtica de telefonades, etc. A més, el programari creat per Digium està disponible per a plataformes Linux, BSD, MacOS X, Solaris i Microsoft Windows.

La primera de les vulnerabilitats, amb identificador AST-2012-007 (CVE-2012-2947), es basa en el controlador de canal "IAX2". Un atacant remot podria forçar l’aplicació a intentar usar un punter no vàlid i podria fer que deixara de funcionar. Esta vulnerabilitat va ser reportada al març de 2012.

La segona, amb identificador AST-2012-008 (CVE-2012-2948), tracta d’un error de referència a un punter nul en el controlador de canal "SCCP" que, usat per un atacant remot, podria causar que el servici deixara d’estar disponible per als usuaris legítims. Esta va ser reportada el 22 de maig.

Sistemes Afectats:

Asterisk versions anteriors a 1.8.12.1 i 10.4.1.

Referències:

CVE-2012-2948, CVE-2012-2947

Solució:

Descarregueu els pedaços del web oficial d’Asterisk.

Notes:

Asterisk Project Security Advisory - AST-2012-007
Asterisk Project Security Advisory - AST-2012-008
Hispasec Una al Día

Font: Hispasec una-al-día

CSIRT-CV