martes, 18 de octubre de 2011

Denegación de servicio en Asterisk

Se ha anunciado un problema de seguridad en Asterisk (Versiones 1.8.x anteriores a 1.8.7.1 y 10.x anteriores a 10.0.0-rc1) que podría permitir a un atacante remoto provocar condiciones de denegación de servicio.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El problema reside en un fallo en el controlador del canal SIP, que podría permitir a un atacante remoto sin autenticar provocar la caída del sistema. Para llevar a cabo el ataque, se debería enviar al servidor una petición específicamente creada de forma que el sistema accede a una variable sin inicializar y se desencadena la vulnerabilidad.

El problema se encuentra solucionado en las versiones 1.8.7.1 y 10.0.0-rc1.


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Asterisk Project Security Advisory - AST-2011-012
Remote crash vulnerability in SIP channel driver
http://downloads.digium.com/pub/security/AST-2011-012.html

No hay comentarios:

Publicar un comentario en la entrada