Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Inyección SQL en Asterisk

Inyección SQL en Asterisk

Por Deja un comentario

Se ha anunciado la existencia de una vulnerabilidad de inyección de código en Asterisk que podría llegar a permitir el compromiso de la aplicación.

Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP. Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más. Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.

El fallo se debe a una insuficiente validación de entrada en Call Detail Record Postgres logging engine (cdr_pgsql) que permitiría a un atacante inyectar secuencias SQL, lo que podría permitirle el compromiso de la aplicación, acceder o modificar los datos, o explotar otro tipo de vulnerabilidades en la base de datos. Se recomienda actualizar a Asterisk 1.4.15 o superior.

Laboratorio Hispasec
laboratorio@hispasec.com

Más información:

Asterisk Project Security Advisory – AST-2007-026
SQL Injection issue in cdr_pgsql
http://downloads.digium.com/pub/asa/AST-2007-026.html

Interacciones del lector

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.