Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El problema se debe a que no se realiza una comprobación ACL cuando se tramitan SIP INVITEs, un atacante podría emplear esto para que un dispositivo realice llamadas en redes destinadas a ser prohibidas tal y como se hayan defino en las líneas "deny" y "permit" de "sip.conf".
Se recomienda actualizar a Asterisk Open Source versión 1.6.1.8 :
ftp://ftp.digium.com/pub/telephony/asterisk
O aplicar el parche :
http://downloads.digium.com/pub/security/AST-2009-007-1.6.1.diff.txt
Antonio Ropero
antonior@hispasec.com
antonior@hispasec.com
Más información:
Asterisk Project Security Advisory - AST-2009-007
http://downloads.asterisk.org/pub/security/AST-2009-007.html
No hay comentarios:
Publicar un comentario