Se
han publicado dos parches que solventan sendas vulnerabilidades de denegación
de servicio en Asterisk.
Asterisk es una implementación de
una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden
conectar un número determinado de teléfonos para hacer llamadas entre sí e
incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el
exterior. Asterisk es ampliamente usado e incluye un gran número de
interesantes características: buzón de voz, conferencias, IVR, distribución automática
de llamadas, etc. Además el software creado por Digium está disponible para
plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
La primera de las vulnerabilidades,
con
identificador AST-2012-010, trata de un
error en el sistema de invitaciones por el que si se envía una invitación
pero el sistema invitado nunca envía una respuesta final, la estructura del
diálogo SIP y los puertos RTP para la llamada nunca son liberados. Así, un
atacante que tenga la posibilidad de establecer una llamada, podría causar una
denegación de servicio usando todos los puertos RTP disponibles.
La segunda vulnerabilidad, con
identificador AST-2012-011 (CVE-2012-3812), se basa en un error en la aplicación "app_voicemail".
Si una cuenta "voicemail"
es manipulada simultáneamente por dos partes se puede dar el caso de que la
memoria sea liberada dos veces, provocando el cierre inesperado de la
aplicación.
Ambas vulnerabilidades se encuentran corregidas en las últimas
versiones del software (1.8.13.1 y 10.5.2).
Más información:
Asterisk Project Security Advisory -
AST-2012-010
Asterisk Project Security Advisory -
AST-2012-011
Daniel Vaca
Felicitaros como siempre y además una pregunta, se ha publicado en El Periódico que el próximo lunes 9/7/2012 miles de ordenadores quedaremos sin Internet a causa de un virus creado en Estonia en el año 2007. ¿Qué hay de cierto en esta noticia? ¿Qué solución aconsejais ?
ResponderEliminarGracias por vuestra amabilidad