Se ha detectado un error a la hora de procesar el protocolo RTP en Asterisk que podría provocar una referencia a puntero nulo. Esto podría ser usado por un atacante remoto sin autenticar para causar una denegación de servicio a través de un paquete RTP especialmente manipulado.
Asterisk es una aplicación diseñada para poder crear una centralita telefónica usando un ordenador. Inicialmente fue desarrollada por Digium y diseñada para el sistema operativo Linux. Actualmente se distribuye bajo licencia GPL y está disponible además para BSD, MacOSX, Solaris y Windows. Asterisk ofrece la posibilidad en su configuración (“dialplan”) de escribir todo tipo de scripts ejecutables según diferentes eventos que ocurran a través del teléfono. Soporta gran cantidad de protocolos relacionados con VoIP como son SIP, H.323, IAX y MGCP.
RTP (Real-time Transport Protocol) es un protocolo usado para comunicaciones en tiempo real que funciona sobre UDP. Este protocolo se usa en streaming de video y/o audio y suele ir junto a RTCP (Real-time Transport Control Protocol) que añade funciones de control a RTP al no tratarse de un protocolo orientado a la conexión.
Solo se ve afectada por esta vulnerabilidad la rama 1.6.x de Asterisk.
vtorre@hispasec.com
Más información:
Parche por SVN en:
http://downloads.asterisk.org/pub/security/AST-2009-004-1.6.1.diff.txt
Asterisk Project Security Advisory ? AST-2009-004
http://downloads.asterisk.org/pub/security/AST-2009-004.html
Deja un comentario