El software open source Asterisk ha publicado los boletines AST-2013-004 y AST-2013-005 que solucionan permisos a posibles atacantes remotos provocar denegaciones de servicio.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows. 
 
Se detallan los boletines a continuación: 

* AST-2013-004:
Colin Cuthbertson reporta un fallo en el driver del canal SIP cuando un ACK con SDP es recibido después de que el canal haya sido terminado, debido a asumir incorrectamente que el canal siempre estuviera presente. Afecta a Asterisk Open Source 1.8.17.0 en adelante y toda la rama 11.x, Certified Asterisk 1.8.15 y 11.2. 
 
* AST-2013-005:
Walter Doekes reporta una vulnerabilidad en el driver del canal SIP si un SDP es enviado en una petición SIP que defina descripciones de medios de comunicación antes que la información de conexión. Esto es debido a hacer referencias de direcciones de socket a pesar de no haberse establecido. Afecta a Asterisk Open Source 1.8.x , 10.x, 11.x ; Certified Asterisk 1.8.15 , 11.2 y Asterisk with Digiumphones 10.x-digiumphones. 
 
Ambos fallos podrían ser aprovechados por un atacante remoto para causar denegación de servicio. 
 
Se han publicado las versiones Asterisk Open Source 1.8.23.1, 10.12.3, 11.5.1; Certified Asterisk 1.8.15-cert3, 11.2-cert2 y Asterisk with Digiumphones 10.12.3-digiumphones que solucionan dichos problemas. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/08/boletines-de-seguridad-para-asterisk.html#comments
 
Más información:
 
Remote Crash From Late Arriving SIP ACK With SDP
http://downloads.asterisk.org/pub/security/AST-2013-004.pdf
 
Remote Crash when Invalid SDP is sent in SIP Request
http://downloads.asterisk.org/pub/security/AST-2013-005.pdf

Fuente:
Fernando Castillo
fcastillo@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar