Asterisk
ha publicado una actualización de
seguridad para solucionar una vulnerabilidad que podría permitir a un atacante
remoto sin autenticar acceder a los
sistemas afectados.
Asterisk es una implementación de
una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden
conectar un número determinado de teléfonos para hacer llamadas entre sí e
incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el
exterior. Asterisk es ampliamente usado e incluye un gran número de
interesantes características: buzón de voz, conferencias, IVR, distribución automática
de llamadas, etc. Además el software creado por Digium está disponible para
plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El problema, descrito en el
boletín AST-2016-009,
reside en que el controlador de canal chan_sip define el espacio en blanco de
forma diferente que un proxy SIP. Por ello, si Asterisk se configura detrás de
un proxy SIP un usuario remoto podrá facilitar valores de cabeceras SIP
específicamente construidos para evitar la autenticación y conseguir acceder al
sistema Asterisk. Por ejemplo, encabezados como "Contact\x01:" será tratado como una cabecera Contact válida.
Solo afecta si se usa chan_sip y un
proxy para la autenticación.
Afecta a Asterisk Open Source 11.x
y 13.x, y a Asterisk Open Source 14.x y 13.8. Se han publicado las versiones Asterisk
Open Source 11.25.1, 13.13.1 y 14.2.1 y Certified Asterisk 11.6-cert16 y
13.8-cert4 que solucionan este problema.
.
Más información:
Asterisk Project Security Advisory -
ASTERISK-2016-009
Antonio Ropero
No hay comentarios:
Publicar un comentario