Asterisk
ha publicado sus dos primeros boletines de seguridad del año (AST-2015-001
y AST-2015-002) que solucionan otras tantas vulnerabilidades que podrían permitir
a atacantes remotos provocar denegaciones de servicio o para inyectar
peticiones http.
Asterisk es una implementación de
una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden
conectar un número determinado de teléfonos para hacer llamadas entre sí e
incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el
exterior. Asterisk es ampliamente usado e incluye un gran número de
interesantes características: buzón de voz, conferencias, IVR, distribución automática
de llamadas, etc. Además el software creado por Digium está disponible para
plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
Ambos problemas afectan a
Asterisk Open Source 1.8.x y las ramas 11.x, 12.x y 13.x; así como a Certified
Asterisk 11.6 y 1.8.28. El primero (AST-2015-001)
afecta al controlador del canal PJSIP. Reside en que al tratar peticiones SDP
con códecs no permitidos por Asterisk la petición se rechaza, pero los puertos
RTP asignados no se liberan. Se han publicado las versiones Asterisk Open
Source 12.8.1 y 13.1.1 que solucionan este problema.
Por otra parte, en el boletín AST-2015-002,
se trata una vulnerabilidad (con CVE-2014-8150)
de inyección de peticiones http en libcURL. Un atacante remoto podría emplear
este problema para falsear contenido en el servidor objetivo, envenenar
cualquier caché web intermedia o construir ataques de cross-site scripting. Se
han publicado las versiones Asterisk Open Source 1.8.32.2, 11.15.1, 12.8.1 y
13.1.1; y Certified Asterisk 1.8.28-cert4 y 11.6-cert10 que solucionan este problema.
Más información:
File descriptor leak when incompatible codecs
are offered
Mitigation for libcURL HTTP request injection
vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario