Se han publicado dos parches que solventan sendas vulnerabilidades de denegación de servicio en Asterisk.
Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
La primera de las vulnerabilidades, con identificador AST-2012-010, trata de un error en el sistema de invitaciones por el que si se envía una invitación pero el sistema invitado nunca envía una respuesta final, la estructura del diálogo SIP y los puertos RTP para la llamada nunca son liberados. Así, un atacante que tenga la posibilidad de establecer una llamada, podría causar una denegación de servicio usando todos los puertos RTP disponibles.
La segunda vulnerabilidad, con identificador AST-2012-011 (CVE-2012-3812), se basa en un error en la aplicación «app_voicemail«. Si una cuenta «voicemail» es manipulada simultáneamente por dos partes se puede dar el caso de que la memoria sea liberada dos veces, provocando el cierre inesperado de la aplicación.
Ambas vulnerabilidades se encuentran corregidas en las últimas versiones del software (1.8.13.1 y 10.5.2).
Más información:
Asterisk Project Security Advisory – AST-2012-010
Asterisk Project Security Advisory – AST-2012-011
Daniel Vaca
Anónimo dice
Felicitaros como siempre y además una pregunta, se ha publicado en El Periódico que el próximo lunes 9/7/2012 miles de ordenadores quedaremos sin Internet a causa de un virus creado en Estonia en el año 2007. ¿Qué hay de cierto en esta noticia? ¿Qué solución aconsejais ?
Gracias por vuestra amabilidad