sábado, 22 de noviembre de 2014

Boletines de seguridad para Asterisk

Asterisk ha publicado siete boletines de seguridad (AST-2014-012 al AST-2014-018) que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos permitir acceso no autorizado, ataques de denegación de servicio o de elevación de privilegios.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primero de los problemas (AST-2014-012) reside en el tratamiento de listas de control de acceso con múltiples direcciones IP mezcladas lo que podría permitir el tráfico no autorizado. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x, 12.x y 13.x; así como a Certified Asterisk 11.6 y 1.8.28.

Por otra parte, en el boletín AST-2014-013, se trata una vulnerabilidad que podría el acceso no autorizado debido a que no se cargan debidamente las listas de control de acceso definidas en pjsip.conf. Este problema afecta a Asterisk Open Source 12.x y 12.x; así como a Certified Asterisk 11.6.

El boletín AST-2014-014 trata una vulnerabilidad en ConfBridge que podría provocar condiciones de denegación de servicio. Este problema afecta a Asterisk Open Source 11.x y a Certified Asterisk 11.6.

Dos de los problemas (AST-2014-015 y AST-2014-016) residen en el controlador del canal PJSIP y podrían permitir a un atacante remoto provocar condiciones de denegación de servicio. Afectan a las ramas 12 y 13 de Asterisk Open Source.

En el boletín AST-2014-017 se soluciona una vulnerabilidad de escala de privilegios a través de las funciones dialplan y actions. Este problema afecta a las ramas 11.x, 12.x y 13.x de Asterisk Open Source y a Certified Asterisk 11.6.

Por último, el boletín AST-2014-018, soluciona una vulnerabilidad de escalada de privilegios a través de la función DB del dialplan. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x, 12.x y 13.x; así como a Certified Asterisk 11.6 y 1.8.x.

Se han publicado las versiones Asterisk Open Source 1.8.32.1, 11.14.1, 12.7.1 y 13.0.1; y Certified Asterisk 1.8.28-cert3 y 11.6-cert8 que solucionan los problemas descritos. También existen parches individuales para solucionar cada una de las vulnerabilidades, disponibles a través de los diferentes boletines publicados.

Más información:

Mixed IP address families in access control lists may permit unwanted traffic

PJSIP ACLs are not loaded on startup     

High call load may result in hung channels in ConfBridge

Remote Crash Vulnerability in PJSIP channel driver

Remote Crash Vulnerability in PJSIP channel driver

Permission escalation through ConfBridge actions/dialplan functions


Antonio Ropero

Twitter: @aropero

viernes, 21 de noviembre de 2014

Google publica Chrome 39 y corrige 42 vulnerabilidades

Google ya no sorprende con sus actualizaciones de Chrome, prácticamente todos los meses nos ofrecen una nueva versión. En octubre publicaba Chrome 38, y poco más de un mes después anuncia la nueva versión 39 del navegador. Se publica la versión 39.0.2171.65 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 42 nuevas vulnerabilidades.

Según el aviso de Google se ha incluido el soporte para 64 bits en Mac, se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 42 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 42 vulnerabilidades, solo se facilita información de 13 de ellas.

Una vulnerabilidad de falsificación de la barra de direcciones (CVE-2014-7899), un error que permite la navegación a los intentos que no tienen la categoría de navegable (CVE-2014-7905), una vulnerabilidad de doble liberación en Flash (CVE-2014-0574) y otro problema por memoria sin inicializar en Skia (CVE-2014-7909).

Otras vulnerabilidades están relacionadas con el uso después de liberar memoria en pdfium (CVE-2014-7900 y CVE-2014-7902), en plugins pepper (CVE-2014-7906) y en blink (CVE-2014-7907). Dos vulnerabilidades por desbordamiento de entero en pdfium (CVE-2014-7901) y en media (CVE-2014-7908). Y vulnerabilidades de desbordamiento de búfer en pdfium (CVE-2014-7903) y en Skia (CVE-2014-7904).

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-7910). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 41.500 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update

una-al-dia (08/10/2014) Google publica Chrome 38 y corrige 159 vulnerabilidades



Antonio Ropero
Twitter: @aropero