lunes, 26 de octubre de 2009

Salto de políticas de seguridad en Asterisk

Se ha confirmado la existencia de una vulnerabilidad en Asterisk 1.6, que podría permitir a un atacante evitar restricciones de seguridad.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El problema se debe a que no se realiza una comprobación ACL cuando se tramitan SIP INVITEs, un atacante podría emplear esto para que un dispositivo realice llamadas en redes destinadas a ser prohibidas tal y como se hayan defino en las líneas "deny" y "permit" de "sip.conf".

Se recomienda actualizar a Asterisk Open Source versión 1.6.1.8 :
ftp://ftp.digium.com/pub/telephony/asterisk

O aplicar el parche :
http://downloads.digium.com/pub/security/AST-2009-007-1.6.1.diff.txt


Antonio Ropero
antonior@hispasec.com


Más información:

Asterisk Project Security Advisory - AST-2009-007
http://downloads.asterisk.org/pub/security/AST-2009-007.html

No hay comentarios:

Publicar un comentario en la entrada