Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El problema reside en un fallo en el controlador del canal SIP, que podría permitir a un atacante remoto sin autenticar provocar la caída del sistema. Para llevar a cabo el ataque, se debería enviar al servidor una petición específicamente creada de forma que el sistema accede a una variable sin inicializar y se desencadena la vulnerabilidad.
El problema se encuentra solucionado en las versiones 1.8.7.1 y 10.0.0-rc1.
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
antonior@hispasec.com
Twitter: @aropero
Más información:
Asterisk Project Security Advisory - AST-2011-012
Remote crash vulnerability in SIP channel driver
http://downloads.digium.com/pub/security/AST-2011-012.html
No hay comentarios:
Publicar un comentario