viernes, 30 de enero de 2015

Boletines de seguridad para Asterisk

Asterisk ha publicado sus dos primeros boletines de seguridad del año (AST-2015-001 y AST-2015-002) que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio o para inyectar peticiones http.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

Ambos problemas afectan a Asterisk Open Source 1.8.x y las ramas 11.x, 12.x y 13.x; así como a Certified Asterisk 11.6 y 1.8.28. El primero (AST-2015-001) afecta al controlador del canal PJSIP. Reside en que al tratar peticiones SDP con códecs no permitidos por Asterisk la petición se rechaza, pero los puertos RTP asignados no se liberan. Se han publicado las versiones Asterisk Open Source 12.8.1 y 13.1.1 que solucionan este problema.

Por otra parte, en el boletín AST-2015-002, se trata una vulnerabilidad (con CVE-2014-8150) de inyección de peticiones http en libcURL. Un atacante remoto podría emplear este problema para falsear contenido en el servidor objetivo, envenenar cualquier caché web intermedia o construir ataques de cross-site scripting. Se han publicado las versiones Asterisk Open Source 1.8.32.2, 11.15.1, 12.8.1 y 13.1.1; y Certified Asterisk 1.8.28-cert4 y 11.6-cert10 que solucionan este problema.

Más información:

File descriptor leak when incompatible codecs are offered

Mitigation for libcURL HTTP request injection vulnerability


Antonio Ropero

Twitter: @aropero

jueves, 29 de enero de 2015

Actualización de productos Apple: iOS, OS X y Safari

Como ya es habitual en los grandes fabricantes, Apple ha publicado de forma conjunta actualizaciones para sus productos más destacados. En esta ocasión encontramos actualizaciones para iOS (el sistema operativo para dispositivos móviles iPhone, iPad, iPod), el navegador Safari y el sistema operativo OS X.

iOS se actualiza a la versión 8.1.3 para ofrecer mayor estabilidad, mejorar el funcionamiento del sistema y además de incluir la corrección de diversos problemas no relacionados directamente con la seguridad, solucionar 33 nuevas vulnerabilidades.

Sobre los problemas corregidos Apple informa que se reduce la cantidad de espacio de almacenamiento necesaria para instalar una actualización de software. Soluciona un problema que impedía a algunos usuarios introducir la contraseña de su ID de Apple para usar Mensajes y FaceTime. Se corrige un problema que ocasiona que no se mostraran los resultados de búsqueda de aplicaciones en Spotlight. También se incluye la solución de un problema que provocaba que los gestos para multitarea no funcionaran en el iPad. Y nuevas opciones de configuración para exámenes estandarizados del sector educativo.

Respecto a las vulnerabilidades incluyen el propio kernel, y otros componentes del sistema como AppleFileConduit, CoreGraphics, dyld, FontParser, Foundation, IOAcceleratorFamily, IOHIDFamily, iTunes Store, libnetcore, MobileInstallation, Springboard y WebKit. Una parte importante de los problemas podrían permitir a un atacante lograr ejecutar código arbitrario en los sistemas afectados.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a las versiones 8.0.3, 7.1.3 y 6.2.3 para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.1. Se solucionan cuatro vulnerabilidades, todas relacionadas con problemas de corrupción de memoria en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario al visitar una página web específicamente creada.

Por último, también ha publicado OS X Yosemite v10.10.2 y Security Update 2015-001, destinado a corregir hasta 54 nuevas vulnerabilidades, incluyendo las publicadas recientemente por el equipo de seguridad Project Zero de Google. Afectan a AFP Server, bash, Bluetooth, CFNetwork Cache, CoreGraphics, CPU Software, CommerceKit Framework, CoreSymbolication, FontParser, Foundation, Intel Graphics Driver, IOAcceleratorFamily, IOHIDFamily, IOKit, IOUSBFamily, Kernel, LaunchServices, LoginWindow, lukemftp, OpenSSL, Sandbox, SceneKit, Security, security_taskgate, Spotlight, SpotlightIndex, sysmond y UserAccountUpdater. Una parte importante de estos problemas podrían permitir la ejecución remota de código arbitrario. Además OS X Mavericks v10.9.5 incluye la nueva versión del navegador Safari 8.0.3.

Más información:

About the security content of iOS 8.1.3

Safari 8.0.3, Safari 7.1.3, and Safari 6.2.3

About the security content of OS X Yosemite v10.10.2 and Security Update 2015-001

una-al-dia (23/01/2015) Google anuncia vulnerabilidades en OS X


Antonio Ropero

Twitter: @aropero