lunes, 23 de diciembre de 2013

Boletines de seguridad para Asterisk

Asterisk ha publicado los boletines AST-2013-006 y AST-2013-007 que solucionan dos vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio o elevar sus privilegios.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primero de los problemas (AST-2013-006) reside en un desbordamiento de búfer en el tratamiento de mensajes SMS de 16 bits con un valor de longitud específicamente manipulado. Por otra parte (AST-2013-007) un usuario remoto autenticado podría acceder a funciones dialplan a través de protocolos de control externos y provocar que determinadas funciones dialplan modifiquen archivos arbitrarios o ejecutar comandos arbitrarios en los sistemas afectados.

Ambos problemas afectan a Asterisk Open Source 1.8.x en adelante y las ramas 10.x y 11.x, Certified Asterisk 1.8.x y 11.x.

Se han publicado las versiones Asterisk Open Source 1.8.24.1, 10.12.4, 11.6.1; Certified Asterisk 1.8.15-cert4, 11.2-cert3 y Asterisk with Digiumphones 10.12.4-digiumphones que solucionan dichos problemas.

Más información:

Asterisk Manager User Dialplan Permission Escalation

Buffer Overflow when receiving odd length 16 bit SMS message



Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada