Boletines de seguridad para Asterisk

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

Dos de los problemas (AST-2014-005y AST-2014-008) residen en el controlador del canal PJSIP y podrían permitir a un atacante remoto provocar condiciones de denegación de servicio (CVE-2014-4045 y CVE-2014-4048). Solo afectan a la rama 12 de Asterisk Open Source.

Por otra parte, en el boletín AST-2014-006, se trata una vulnerabilidad (con CVE-2014-4046) que podría permitir a usuarios manager ejecutar comandos shell. Este problema afecta a Asterisk Open Source 11.x y 12.x; así como a Certified Asterisk 11.6.

Por último, el boletín AST-2014-007, soluciona una vulnerabilidad de denegación de servicio debido a que es posible consumir todas las conexiones http (o https) concurrentes permitidas mediante el envío de conexiones incompletas. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x y 12.x; así como a Certified Asterisk 11.6 y 1.8.15.

Se han publicado las versiones Asterisk Open Source 1.8.28.1, 11.10.1 y 12.3.1; Certified Asterisk 1.8.15-cert6 y 11.6-cert3 que solucionan todos los problemas.

Antonio Ropero

Twitter: @aropero