Se
han corregido dos vulnerabilidades en Asterisk,
en sus versiones 1.8.x y 10.x, que podrían permitir a atacantes remotos
provocar denegaciones de servicio.
Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se
pueden conectar un número determinado de teléfonos para hacer llamadas entre sí
e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con
el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes
características: buzón de voz, conferencias, IVR, distribución automática de
llamadas, etc. Además el software creado por Digium está disponible para
plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
La primera de las
vulnerabilidades, con identificador AST-2012-007
(CVE-2012-2947),
se basa en el controlador de canal "IAX2".
Un atacante remoto podría forzar a la aplicación a intentar usar un puntero no
válido pudiendo hacer que dejase de
funcionar. Esta vulnerabilidad fue reportada en marzo de 2012.
La segunda, con identificador AST-2012-008
(CVE-2012-2948),
trata de un error de referencia a puntero nulo en el controlador de canal "SCCP" que, usado por un atacante
remoto, podría causar que el servicio dejase
de estar disponible para los usuarios legítimos. Esta fue reportada el 22
de mayo.
Sendas vulnerabilidades se
corrigen en las versiones 1.8.12.1 y 10.4.1 publicadas en los boletines AST-2012-007
y AST-2012-008.
Mas información:
Asterisk
Project Security Advisory - AST-2012-007
Asterisk
Project Security Advisory - AST-2012-008
Daniel Vaca
No hay comentarios:
Publicar un comentario