Se ha anunciado la existencia de una vulnerabilidad de inyección de código en Asterisk que podría llegar a permitir el compromiso de la aplicación.
Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP. Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más. Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.
El fallo se debe a una insuficiente validación de entrada en Call Detail Record Postgres logging engine (cdr_pgsql) que permitiría a un atacante inyectar secuencias SQL, lo que podría permitirle el compromiso de la aplicación, acceder o modificar los datos, o explotar otro tipo de vulnerabilidades en la base de datos. Se recomienda actualizar a Asterisk 1.4.15 o superior.
laboratorio@hispasec.com
Más información:
Asterisk Project Security Advisory – AST-2007-026
SQL Injection issue in cdr_pgsql
http://downloads.digium.com/pub/asa/AST-2007-026.html
