Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El problema reside en el tratamiento de paquetes SIP específicamente creados, que podría provocar el consumo de toda la memoria disponible para la red SIP con la consiguiente caída del servicio. Aunque la vulnerabilidad se presenta en múltiples versiones de Asterisk, solo es potencialmente explotable en las versiones 1.6.1 y superiores, ya que esas versiones son las primeras que han permitido superar los paquetes SIP de 1.500 bytes.
El problema se encuentra solucionado en las versiones 1.2.34, 1.4.26.1, 1.6.0.12 y 1.6.1.4.
Antonio Ropero
antonior@hispasec.com
antonior@hispasec.com
Más información:
Asterisk Project Security Advisory - AST-2009-005
Remote Crash Vulnerability in SIP channel driver
http://downloads.asterisk.org/pub/security/AST-2009-005.html
0 comentarios:
Publicar un comentario en la entrada