viernes, 9 de diciembre de 2016

Actualización de seguridad para Asterisk

Asterisk ha publicado una actualización de seguridad para solucionar una vulnerabilidad que podría permitir a un atacante remoto sin autenticar acceder a los sistemas afectados.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El problema, descrito en el boletín AST-2016-009, reside en que el controlador de canal chan_sip define el espacio en blanco de forma diferente que un proxy SIP. Por ello, si Asterisk se configura detrás de un proxy SIP un usuario remoto podrá facilitar valores de cabeceras SIP específicamente construidos para evitar la autenticación y conseguir acceder al sistema Asterisk. Por ejemplo, encabezados como "Contact\x01:" será tratado como una cabecera Contact válida. Solo afecta si se usa chan_sip  y un proxy para la autenticación.

Afecta a Asterisk Open Source 11.x y 13.x, y a Asterisk Open Source 14.x y 13.8. Se han publicado las versiones Asterisk Open Source 11.25.1, 13.13.1 y 14.2.1 y Certified Asterisk 11.6-cert16 y 13.8-cert4 que solucionan este problema.
.

Más información:

Asterisk Project Security Advisory - ASTERISK-2016-009




Antonio Ropero