El software Asterisk ha publicado cuatro boletines de seguridad que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos producir denegaciones de servicio o elevar sus privilegios.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows. 
 
Dos de los problemas (AST-2014-005 y AST-2014-008) residen en el controlador del canal PJSIP y podrían permitir a un atacante remoto provocar condiciones de denegación de servicio (CVE-2014-4045 y CVE-2014-4048). Solo afectan a la rama 12 de Asterisk Open Source. 
 
Por otra parte, en el boletín AST-2014-006, se trata una vulnerabilidad (con CVE-2014-4046) que podría permitir a usuarios manager ejecutar comandos shell. Este problema afecta a Asterisk Open Source 11.x y 12.x; así como a Certified Asterisk 11.6. 
 
Por último, el boletín AST-2014-007, soluciona una vulnerabilidad de denegación de servicio debido a que es posible consumir todas las conexiones http (o https) concurrentes permitidas mediante el envío de conexiones incompletas. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x y 12.x; así como a Certified Asterisk 11.6 y 1.8.15. 
 
Se han publicado las versiones Asterisk Open Source 1.8.28.1, 11.10.1 y 12.3.1; Certified Asterisk 1.8.15-cert6 y 11.6-cert3 que solucionan todos los problemas. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2014/06/boletines-de-seguridad-para-asterisk.html#comments
 
Más información:
 
Remote Crash in PJSIP Channel Driver’s Publish/Subscribe Framework
http://downloads.asterisk.org/pub/security/AST-2014-005.html
 
Asterisk Manager User Unauthorized Shell Access
http://downloads.asterisk.org/pub/security/AST-2014-006.html
 
Exhaustion of Allowed Concurrent HTTP Connections
http://downloads.asterisk.org/pub/security/AST-2014-007.html
 
Exhaustion of Allowed Concurrent HTTP Connections
http://downloads.asterisk.org/pub/security/AST-2014-007.html

 

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imágenes: 
Foto Imagen Gratis en Internet
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar