Asterisk ha publicado siete boletines de seguridad
(AST-2014-012 al AST-2014-018) que solucionan otras tantas vulnerabilidades que
podrían permitir a atacantes remotos permitir acceso no autorizado, ataques de
denegación de servicio o de elevación de privilegios.
Asterisk es una
implementación de una central telefónica (PBX) de código abierto. Como
cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer
llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar
comunicaciones con el exterior.
Detalle e Impacto de las
vulnerabilidades corregidas
- El primero de los problemas (AST-2014-012) reside en el tratamiento de listas de control de acceso con múltiples direcciones IP mezcladas lo que podría permitir el tráfico no autorizado. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x, 12.x y 13.x; así como a Certified Asterisk 11.6 y 1.8.28.
- Por otra parte, en el boletín AST-2014-013, se trata una vulnerabilidad que podría el acceso no autorizado debido a que no se cargan debidamente las listas de control de acceso definidas en pjsip.conf. Este problema afecta a Asterisk Open Source 12.x y 12.x; así como a Certified Asterisk 11.6.
- El boletín AST-2014-014 trata una vulnerabilidad en ConfBridge que podría provocar condiciones de denegación de servicio. Este problema afecta a Asterisk Open Source 11.x y a Certified Asterisk 11.6.
- Dos de los problemas (AST-2014-015 y AST-2014-016) residen en el controlador del canal PJSIP y podrían permitir a un atacante remoto provocar condiciones de denegación de servicio. Afectan a las ramas 12 y 13 de Asterisk Open Source.
- En el boletín AST-2014-017 se soluciona una vulnerabilidad de escala de privilegios a través de las funciones dialplan y actions. Este problema afecta a las ramas 11.x, 12.x y 13.x de Asterisk Open Source y a Certified Asterisk 11.6.
- Por último, el boletín AST-2014-018, soluciona una vulnerabilidad de escalada de privilegios a través de la función DB del dialplan. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x, 12.x y 13.x; así como a Certified Asterisk 11.6 y 1.8.x.
- Se han publicado las versiones Asterisk Open Source 1.8.32.1, 11.14.1, 12.7.1 y 13.0.1; y Certified Asterisk 1.8.28-cert3 y 11.6-cert8 que solucionan los problemas descritos.
- También existen parches individuales para solucionar cada una de las vulnerabilidades, disponibles a través de los diferentes boletines publicados.
- Mixed IP address families in access control lists may permit unwanted traffic http://downloads.asterisk.org/pub/security/AST-2014-012.html
- PJSIP ACLs are not loaded on startup http://downloads.asterisk.org/pub/security/AST-2014-013.html
- High call load may result in hung channels in ConfBridge http://downloads.asterisk.org/pub/security/AST-2014-014.html
- Remote Crash Vulnerability in PJSIP channel driver http://downloads.asterisk.org/pub/security/AST-2014-015.html
- Remote Crash Vulnerability in PJSIP channel driver http://downloads.asterisk.org/pub/security/AST-2014-016.html
- Permission escalation through ConfBridge actions/dialplan functions http://downloads.asterisk.org/pub/security/AST-2014-017.html