Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP. Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más. Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.
Cuando se procesan paquetes SIP en modo "pedantic"' se pasa el valor "From" de las cabeceras a la función ast_uri_decode sin que sea validado. Esto podría ser aprovechado por un atacante remoto para efectuar una denegación de servicio a través de paquetes SIP especialmente manipulados.
Se consideran vulnerables todas las versiones anteriores a la 1.2.29 Open Source y B.2.5.3 Business Edition.
Se recomienda actualizar a la última versión disponible en:
http://www.asterisk.org/downloads
Laboratorio Hispasec
laboratorio@hispasec.com
laboratorio@hispasec.com
Más información:
Asterisk Project Security Advisory - AST-2008-008
http://downloads.digium.com/pub/security/AST-2008-008.html
0012607: SIP INVITE msg without "From" field crashes asterisk 1.2.28 if pedantic=yes
http://bugs.digium.com/view.php?id=12607
0 comentarios:
Publicar un comentario en la entrada