viernes, 13 de junio de 2014

Boletines de seguridad para Asterisk

Asterisk ha publicado cuatro boletines de seguridad (del AST-2014-005 al AST-2014-008) que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio o elevar sus privilegios.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

Dos de los problemas (AST-2014-005 y AST-2014-008) residen en el controlador del canal PJSIP y podrían permitir a un atacante remoto provocar condiciones de denegación de servicio (CVE-2014-4045 y CVE-2014-4048). Solo afectan a la rama 12 de Asterisk Open Source.

Por otra parte, en el boletín AST-2014-006, se trata una vulnerabilidad (con CVE-2014-4046) que podría permitir a usuarios manager ejecutar comandos shell. Este problema afecta a Asterisk Open Source 11.x y 12.x; así como a Certified Asterisk 11.6.

Por último, el boletín AST-2014-007, soluciona una vulnerabilidad de denegación de servicio debido a que es posible consumir todas las conexiones http (o https) concurrentes permitidas mediante el envío de conexiones incompletas. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x y 12.x; así como a Certified Asterisk 11.6 y 1.8.15.

Se han publicado las versiones Asterisk Open Source 1.8.28.1, 11.10.1 y 12.3.1; Certified Asterisk 1.8.15-cert6 y 11.6-cert3 que solucionan todos los problemas.

Más información:

Remote Crash in PJSIP Channel Driver's Publish/Subscribe Framework

Asterisk Manager User Unauthorized Shell Access

Exhaustion of Allowed Concurrent HTTP Connections

Exhaustion of Allowed Concurrent HTTP Connections

Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada