martes, 24 de enero de 2012

Denegación de servicio en Asterisk a través de SRTP

Se ha solucionado un fallo en la implementación de SRTP (Secure Real-time Transport Protocol) que podría permitir a un atacante provocar una denegación de servicio en Asterisk.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

SRTP es la implementación segura (que proporciona cifrado e integridad) de RTP (Real-time Transport Protocol) usado principalmente para el envío de flujo multimedia.

El fallo permite a un atacante remoto provocar una denegación de servicio en el servidor. Para conseguirlo debe crear una conexión de vídeo segura y que el servidor no tenga soporte de vídeo activo, pero sí cargado el módulo (res_srtp) de SRTP.

A esta vulnerabilidad se le ha asignado el identificador CVE-2012-0885, y se encuentra solucionada en las versiones 1.8.8.2 y 10.0.1.

Más información:

Security Advisory:

Fix:


Victor Antonio Torre

1 comentario:

  1. me gusta cuando un tema me queda claro con palabras tan profesionales como las que trae este articulo

    ResponderEliminar