Asterisk ha publicado dos boletines de seguridad
(AST-2014-009 y AST-2014-010) que solucionan otras tantas vulnerabilidades que
podrían permitir a atacantes remotos provocar denegaciones de servicio.
Asterisk es una
implementación de una central telefónica (PBX) de código abierto. Como
cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer
llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar
comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran
número de interesantes características: buzón de voz, conferencias, IVR,
distribución automática de llamadas, etc. Además el software creado por Digium
está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft
Windows.
Detalle e Impacto de las
vulnerabilidades corregidas
- El primero de los problemas (AST-2014-009) reside en el tratamiento de peticiones SIP SUBSCRIBE específicamente manipuladas y podría permitir a un atacante remoto provocar condiciones de denegación de servicio (CVE-2014-6609). Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x y 12.x; así como a Certified Asterisk 11.6 y 1.8.15. Se ha publicado la versión Asterisk Open Source 12.5.1 que soluciona este problema.
- Por otra parte, en el boletín AST-2014-010, se trata una vulnerabilidad (con CVE-2014-6610) que podría permitir a atacantes remotos autenticados provocar denegaciones de servicio cuando se tratan mensajes "out of call" en determinadas configuraciones dialplan. Este problema afecta a Asterisk Open Source 11.x y 12.x; así como a Certified Asterisk 11.6.
Para corregir
este problema se han publicado los siguientes parches:
- Para Asterisk 11: http://downloads.asterisk.org/pub/security/AST-2014-010-11.diff
- Para Asterisk 12: http://downloads.asterisk.org/pub/security/AST-2014-010-12.diff
- Para Certified Asterisk 11.6: http://downloads.asterisk.org/pub/security/AST-2014-010-11.6.diff
- Remote crash when handling out of call message in certain dialplan configurations http://downloads.asterisk.org/pub/security/AST-2014-010.html
- Remote crash based on malformed SIP subscription requests http://downloads.asterisk.org/pub/security/AST-2014-009.html