ASTERISK. Publicados Boletines de seguridad

Asterisk ha publicado cuatro boletines de seguridad (del AST-2014-005 al AST-2014-008) que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio o elevar sus privilegios.

Detalle de los Boletines de seguridad publicados

• Dos de los problemas (AST-2014-005 y AST-2014-008) residen en el controlador del canal PJSIP y podrían permitir a un atacante remoto provocar condiciones de denegación de servicio (CVE-2014-4045 y CVE-2014-4048). Solo afectan a la rama 12 de Asterisk Open Source.
• Por otra parte, en el boletín AST-2014-006, se trata una vulnerabilidad (con CVE-2014-4046) que podría permitir a usuarios manager ejecutar comandos shell. Este problema afecta a Asterisk Open Source 11.x y 12.x; así como a Certified Asterisk 11.6.
• Por último, el boletín AST-2014-007, soluciona una vulnerabilidad de denegación de servicio debido a que es posible consumir todas las conexiones http (o https) concurrentes permitidas mediante el envío de conexiones incompletas. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x y 12.x; así como a Certified Asterisk 11.6 y 1.8.15.

Recomendación

•  Se han publicado las versiones Asterisk Open Source 1.8.28.1, 11.10.1 y 12.3.1; Certified Asterisk 1.8.15-cert6 y 11.6-cert3 que solucionan todos los problemas.

Más información:

• Remote Crash in PJSIP Channel Driver's Publish/Subscribe Framework  http://downloads.asterisk.org/pub/security/AST-2014-005.html
• Asterisk Manager User Unauthorized Shell Access http://downloads.asterisk.org/pub/security/AST-2014-006.html
• Exhaustion of Allowed Concurrent HTTP Connections http://downloads.asterisk.org/pub/security/AST-2014-007.html
• Exhaustion of Allowed Concurrent HTTP Connections http://downloads.asterisk.org/pub/security/AST-2014-007.html

Fuente: Hispasec