Asterisk ha publicado cuatro boletines de seguridad
(del AST-2014-005 al AST-2014-008) que solucionan otras tantas vulnerabilidades
que podrían permitir a atacantes remotos provocar denegaciones de servicio o elevar
sus privilegios.
Detalle de los Boletines de
seguridad publicados
- Dos de los problemas
(AST-2014-005 y AST-2014-008) residen en el controlador del canal PJSIP y
podrían permitir a un atacante remoto provocar condiciones de denegación
de servicio (CVE-2014-4045 y CVE-2014-4048). Solo afectan a la rama 12 de
Asterisk Open Source.
- Por otra parte, en el boletín
AST-2014-006, se trata una vulnerabilidad (con CVE-2014-4046) que podría
permitir a usuarios manager ejecutar comandos shell. Este problema afecta
a Asterisk Open Source 11.x y 12.x; así como a Certified Asterisk 11.6.
- Por último, el boletín
AST-2014-007, soluciona una vulnerabilidad de denegación de servicio
debido a que es posible consumir todas las conexiones http (o https)
concurrentes permitidas mediante el envío de conexiones incompletas. Este
problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x y 12.x; así
como a Certified Asterisk 11.6 y 1.8.15.
Recomendación
- Se han publicado las versiones Asterisk Open Source 1.8.28.1, 11.10.1 y 12.3.1; Certified Asterisk 1.8.15-cert6 y 11.6-cert3 que solucionan todos los problemas.
- Remote Crash in PJSIP Channel Driver's
Publish/Subscribe Framework http://downloads.asterisk.org/pub/security/AST-2014-005.html
- Asterisk Manager User Unauthorized Shell Access http://downloads.asterisk.org/pub/security/AST-2014-006.html
- Exhaustion of Allowed Concurrent HTTP Connections
http://downloads.asterisk.org/pub/security/AST-2014-007.html
- Exhaustion of Allowed Concurrent HTTP Connections
http://downloads.asterisk.org/pub/security/AST-2014-007.html