Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El primero de los problemas reside en el tratamiento de paquetes SIP específicamente manipulados que contengan un null, que podría modificar las estructuras en memoria y provocar la caída del sistema. Otro problema relacionado con paquetes SIP con el signo menor ("<") puede provocar el acceso a un puntero nulo con la consiguiente caída de servicio.
El último problema reside en el envío inadvertido de direcciones de memoria a través de la red vía enlace IAX2, de forma que la parte remota podría acceder a ella.
Se han publicado actualizaciones para solucionar estos problemas con las versiones 1.4.41.1, 1.6.2.18.1, 1.8.4.3 y Business Edition C.3.7.3. Disponibles desde: http://www.asterisk.org/downloads
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
antonior@hispasec.com
Twitter: @aropero
Más información:
Remote crash vulnerability in IAX2 channel driver
http://downloads.asterisk.org/pub/security/AST-2011-010.html
Remote Crash Vulnerability in SIP channel driver
http://downloads.asterisk.org/pub/security/AST-2011-008.html
Remote Crash Vulnerability in SIP channel driver
http://downloads.asterisk.org/pub/security/AST-2011-009.html
No hay comentarios:
Publicar un comentario