lunes, 26 de febrero de 2018

Boletines de seguridad para Asterisk

Asterisk ha publicado seis boletines de seguridad (AST-2018-001 al AST-2018-006) que solucionan otras tantas vulnerabilidades que podrían permitir ataques de denegación de servicio


Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

Las vulnerabilidades, ordenadas por boletín, son las siguientes:

  • AST-2018-001: un problema que podría causar un bloqueo cuando una consulta a los registros del soporte RTP para un 'payload' dinámico resulta en un 'codec' de tipo diferente al negociado para el flujo RTP. Esta vulnerabilidad tiene asignado el identificador CVE-2018-7285 y afecta a la rama 15.x de Asterisk Open Source.
  • AST-2018-002: un error al procesar la descripción de formato de medios no válidos con el algoritmo de análisis 'sdp' de 'pjproject'. No se ha asignado ningún identificador CVE a este problema que afecta a las versiones de Asterisk Open Source comprendidas entre la 13 y 15 así como a Certified Asterisk 13.18
  • AST-2018-003: un error producido al utilizar el controlador de canal 'pjsip' cuando la función de recuperación 'fmtp' de 'pjproject' no es capaz de verificar si el valor del atributo 'fmtp' está vacío (se establece como vacío si se analizó previamente como no válido). Este problema, sin CVE asignado, afecta a Asterisk Open Source 13.x, 14.x y 15.x así como a Certified Asterisk 13.18.
  • AST-2018-004: una falta de comprobación de la cantidad de cabeceras 'Accept' cuando el módulo 'res_pjsip_pubsub' procesa una petición SUBSCRIBE que podría causar una escritura de memoria fuera de límites. El CVE CVE-2018-7284 se ha asignado a esta vulnerabilidad que afecta a las ramas 13, 14 y 15 de Asterisk Open Source y la versión 13.18 de Certified Asterisk.
  • AST-2018-005: un fallo de segmentación podría ocurrir al recibir un gran número de mensajes INVITE autenticados y finalizar la conexión de repente (CVE-2018-7286). Se encuentran afectados Asterisk Open Source 13.x, 14.x, 15.x y Certified Asterisk 13.18.
  • AST-2018-0016: una falta de comprobación de la longitud de los 'websocket' podría causar un bloqueo al intentar leer un 'payload' de tamaño 0. Esta vulnerabilidad, identificada como CVE-2018-7287, únicamente afecta a aquellas instalaciones de Asterisk con el servidor HTTP habilitado (por defecto no lo está). Afecta a la rama 15.x de Asterisk Open Source.


Se han publicado las versiones Asterisk Open Source 13.19.2, 14.7.6, 15.2.2 y Certified Asterisk 13.18-cert3 que solucionan los problemas anteriormente descritos. También existen parches individuales para solucionar cada una de las vulnerabilidades, disponibles a través de los diferentes boletines publicados.



Juan José Ruiz
jruiz@hispasec.com

Más información:

AST-2018-001: Crash when receiving unnegotiated dynamic payload:
http://downloads.asterisk.org/pub/security/AST-2018-001.html

AST-2018-002: Crash when given an invalid SDP media format description:
http://downloads.asterisk.org/pub/security/AST-2018-002.html

AST-2018-003: Crash with an invalid SDP fmtp attribute:
http://downloads.asterisk.org/pub/security/AST-2018-003.html

AST-2018-004: Crash when receiving SUBSCRIBE request:
http://downloads.asterisk.org/pub/security/AST-2018-004.html

AST-2018-005: Crash when large numbers of TCP connections are closed suddenly: