Asterisk ha publicado los boletines AST-2013-004y AST-2013-005que solucionan dos vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio.
Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
Se detallan los boletines a continuación:
- AST-2013-004: Colin Cuthbertson reporta un fallo en el driver del canal SIP cuando un ACK con SDP es recibido después de que el canal haya sido terminado, debido a asumir incorrectamente que el canal siempre estuviera presente. Afecta a Asterisk Open Source 1.8.17.0 en adelante y toda la rama 11.x, Certified Asterisk 1.8.15 y 11.2.
- AST-2013-005: Walter Doekes reporta una vulnerabilidad en el driver del canal SIP si un SDP es enviado en una petición SIP que defina descripciones de medios de comunicación antes que la información de conexión. Esto es debido a hacer referencias de direcciones de socket a pesar de no haberse establecido. Afecta a Asterisk Open Source 1.8.x , 10.x, 11.x ; Certified Asterisk 1.8.15 , 11.2 y Asterisk with Digiumphones 10.x-digiumphones.
Ambos fallos podrían ser aprovechados por un atacante remoto para causar denegación de servicio.
Se han publicado las versiones Asterisk Open Source 1.8.23.1, 10.12.3, 11.5.1; Certified Asterisk 1.8.15-cert3, 11.2-cert2 y Asterisk with Digiumphones 10.12.3-digiumphones que solucionan dichos problemas.
Más información:
Remote Crash From Late Arriving SIP ACK With SDP
Remote Crash when Invalid SDP is sent in SIP Request
Fernando Castillo
