Asterisk
ha publicado los boletines AST-2013-006
y AST-2013-007
que solucionan dos vulnerabilidades
que podrían permitir a atacantes remotos provocar denegaciones de servicio o
elevar sus privilegios.
Asterisk es una implementación de
una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden
conectar un número determinado de teléfonos para hacer llamadas entre sí e
incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el
exterior. Asterisk es ampliamente usado e incluye un gran número de
interesantes características: buzón de voz, conferencias, IVR, distribución
automática de llamadas, etc. Además el software creado por Digium está
disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El primero de los problemas (AST-2013-006)
reside en un desbordamiento de búfer en el tratamiento de mensajes SMS de 16
bits con un valor de longitud específicamente manipulado. Por otra parte (AST-2013-007)
un usuario remoto autenticado podría acceder a funciones dialplan a través de
protocolos de control externos y provocar que determinadas funciones dialplan
modifiquen archivos arbitrarios o ejecutar comandos arbitrarios en los sistemas
afectados.
Ambos problemas afectan a
Asterisk Open Source 1.8.x en adelante y las ramas 10.x y 11.x, Certified
Asterisk 1.8.x y 11.x.
Se han publicado las versiones
Asterisk Open Source 1.8.24.1, 10.12.4, 11.6.1; Certified Asterisk 1.8.15-cert4,
11.2-cert3 y Asterisk with Digiumphones 10.12.4-digiumphones que solucionan
dichos problemas.
Más información:
Asterisk Manager User Dialplan
Permission Escalation
Buffer Overflow when receiving odd length 16
bit SMS message
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario