viernes, 7 de abril de 2017

Actualización de seguridad para Asterisk

Asterisk ha publicado una actualización de seguridad para solucionar una vulnerabilidad que podría permitir a un atacante remoto autenticado ejecutar código arbitrario en los sistemas afectados.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El problema, descrito en el boletín AST-2017-001, reside en que no se realiza la comprobación de tamaño cuando se asigna el campo usuario en un CDR (Call Detail Record). Esto posibilita emplear una cadena demasiado larga y provocar un desbordamiento de búfer, posibilitando la inyección remota de código. Afecta a sistemas que hagan uso de CDR en determinadas configuraciones.

Afecta a Asterisk Open Source 14.x y 13.x y a Certified Asterisk 13.13. Se han publicado las versiones Asterisk Open Source 13.14.1 y 14.3.1 y Certified Asterisk 13.13-cert3 que solucionan este problema.

También se han publicado los siguientes parches:
Para Asterisk 13:
Para Asterisk 14:
Para Certified Asterisk 13.13:

Más información:

Asterisk Project Security Advisory - ASTERISK-2017-001





Antonio Ropero
Twitter: @aropero



No hay comentarios:

Publicar un comentario