Asterisk
ha publicado dos boletines de seguridad que solucionan otras tantas
vulnerabilidades que podrían permitir a atacantes remotos provocar condiciones
de denegación de servicio.
Asterisk es una implementación de
una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden
conectar un número determinado de teléfonos para hacer llamadas entre sí e
incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el
exterior. Asterisk es ampliamente usado e incluye un gran número de
interesantes características: buzón de voz, conferencias, IVR, distribución automática
de llamadas, etc. Además el software creado por Digium está disponible para
plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El primer problema (AST-2016-006)
reside en una denegación de servicio remota al tratar un ACK desde un punto final
con nombre de usuario no reconocido. Este problema solo afecta a Asterisk Open
Source 13.10 en usuarios que utilicen la pila PJSIP con Asterisk.
Por otra parte, en el boletín AST-2016-007,
se trata un problema por la asignación de recursos RTP antes de que se liberen
los antiguos. Lo que podría permitir a un atacante remoto el consumo de todos
los recursos y puertos impidiendo establecer sesiones. Afecta a todas las
versiones de Asterisk Open Source 11.x y 13.x y Certified Asterisk 11.6 y 13.8.
Se han publicado las versiones Asterisk
Open Source 11.23.1 y 13.11.1 y Certified Asterisk 11.6-cert15 y 13.8-cert3 que
solucionan estos problemas.
Más información:
Asterisk Project Security Advisory -
AST-2016-006
Crash on ACK from unknown endpoint
Asterisk Project Security Advisory -
AST-2016-007
RTP Resource Exhaustion
Antonio Ropero
Twitter: @aropero
