Existe un error de desbordamiento de memoria intermedia basado en pila en la función 'ast_uri_encode' de Asterisk.
Detalle de la vulnerabilidad:
La citada función se encarga de filtrar los datos de un ID de llamada y debido a un error en la comprobación de la longitud de los datos, un atacante remoto autenticado podría ejecutar código arbitrario a través de un ID especialmente diseñado.
Detalles de la aplicación
- Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP.
- Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más.
- Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.
Recomendaciones:
Se recomienda actualizar a versiones que se encuentra corregido el error que son:
- Para versiones 'Open Source' 1.4.38.1, 1.4.39.1, 1.6.1.21, 1.6.2.15.1, 1.6.2.16.1, 1.8.1.2 y 1.8.2.2 .
- Para la versión comercial 'Business Edition' C.3.6.2
Fuente: Hispasec