lunes, 22 de septiembre de 2014

Boletines de seguridad para Asterisk

Asterisk ha publicado dos boletines de seguridad (AST-2014-009 y AST-2014-010) que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primero de los problemas (AST-2014-009) reside en el tratamiento de peticiones SIP SUBSCRIBE específicamente manipuladas y podría permitir a un atacante remoto provocar condiciones de denegación de servicio (CVE-2014-6609). Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x y 12.x; así como a Certified Asterisk 11.6 y 1.8.15. Se ha publicado la versión Asterisk Open Source 12.5.1 que soluciona este problema.

Por otra parte, en el boletín AST-2014-010, se trata una vulnerabilidad (con CVE-2014-6610) que podría permitir a atacantes remotos autenticados provocar denegaciones de servicio cuando se tratan mensajes "out of call" en determinadas configuraciones dialplan. Este problema afecta a Asterisk Open Source 11.x y 12.x; así como a Certified Asterisk 11.6.

Para corregir este problema se han publicado los siguientes parches:
Para Asterisk 11:
Para Asterisk 12:
Para Certified Asterisk 11.6:

Más información:

Remote crash when handling out of call message in certain dialplan configurations

Remote crash based on malformed SIP subscription requests


Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada