sábado, 19 de marzo de 2011

Denegación de servicio en Asterisk 1.6.x y 1.8.x

Nuevas versiones de Asterisk ha sido publicadas para solucionar dos fallos de denegación de servicio.

Asterisk es una implementación de código abierto de una central telefónica (PBX). Como cualquier PBX, permite interconectar teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP o a la línea telefónica tradicional. Asterisk incluye características como buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.

El primer fallo se produce cuando el interfaz de administración está activa. Un error en la función 'send_string' de 'manager.c' permitiría a un atacante remoto causar una denegación de servicio abriendo conexiones, por un consumo excesivo de CPU.

El segundo error solucionado se produce al abrir y cerrar conexiones TCP con ciertas API. No se valida correctamente el valor de un puntero, pudiendo causar una referencia a NULL y por tanto, una denegación de servicio.

Recomendamos actualizar desde http://www.asterisk.org/downloads a las versiones 1.6.1.23, 1.6.2.17.1 o 1.8.3.1 que solucionan estos problemas.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Asterisk Blog:
http://www.asterisk.org/node/51595

No hay comentarios:

Publicar un comentario en la entrada