Asterisk
ha publicado dos boletines de seguridad (AST-2014-009
y AST-2014-010)
que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de
servicio.
Asterisk es una implementación de
una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden
conectar un número determinado de teléfonos para hacer llamadas entre sí e
incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el
exterior. Asterisk es ampliamente usado e incluye un gran número de
interesantes características: buzón de voz, conferencias, IVR, distribución
automática de llamadas, etc. Además el software creado por Digium está
disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El primero de los problemas
(AST-2014-009) reside en el tratamiento de peticiones SIP SUBSCRIBE
específicamente manipuladas y podría permitir a un atacante remoto provocar
condiciones de denegación de servicio (CVE-2014-6609). Este problema afecta a
Asterisk Open Source 1.8.x y las ramas 11.x y 12.x; así como a Certified
Asterisk 11.6 y 1.8.15. Se ha publicado la versión Asterisk Open Source 12.5.1
que soluciona este problema.
Por otra parte, en el boletín
AST-2014-010, se trata una vulnerabilidad (con CVE-2014-6610) que podría
permitir a atacantes remotos autenticados provocar denegaciones de servicio
cuando se tratan mensajes "out of call" en determinadas
configuraciones dialplan. Este problema afecta a Asterisk Open Source 11.x y
12.x; así como a Certified Asterisk 11.6.
Para corregir este problema se
han publicado los siguientes parches:
Más información:
Remote crash when handling out of call message
in certain dialplan configurations
Remote crash based on malformed SIP
subscription requests
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario