El proyecto Asterisk ha publicado recientemente tres boletines de seguridad que solucionan errores que podrían causar revelación de información y denegación de servicio. Todos ellos de forma remota y con exploits conocidos.
Asterisk es una implementación de una central telefónica
(PBX) de código abierto. Como cualquier PBX, se pueden conectar un número
determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a
un proveedor de VoIP para realizar comunicaciones con el exterior.
Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
Detalle de la actualización
- En el primer boletín AST-2016-001, se encuentra afectado el servidor HTTP al tener una configuración por defecto que permite la vulnerabilidad BEAST si TLS se encuentra activado. Por lo que podría realizarse un ataque de hombre en el medio y llevar al descifrado de las comunicaciones.
- El segundo boletín AST-2016-002, soluciona un agotamiento de descriptores de ficheros relacionado con el valor timert1 en el fichero sip.conf. Al configurar un valor mayor a 1245 podría causar un desbordamiento de enteros retransmitiendo largos tiempos de espera, estos tiempos de espera agotarían los descriptores de ficheros y causarían denegación de servicio.
- El último boletín AST-2016-003, arregla también un fallo que podría causar denegación de servicio debido a errores de acceso a memoria. Si se pierde un paquete UDPTL se pone en marcha el mecanismo de corrección de errores de paquetes de redundancia, paquetes de redundancia con un tamaño cero causarían el uso de un búfer no inicializado.
- Se ven afectadas las versiones 1.8.x, 11.x, 12.x, 13.x de Asterisk Open Source y 1.8.28, 11.6, 13.1 de Certified Asterisk.
Recomendación
- Es necesario actualizar a 11.21.1, 13.7.1 de Asterisk Open Source y 11.6-cert12, 13.1-cert3 de Certified Asterisk por los cauces oficiales.
Más información:
- AST-2016-003: Remote crash vulnerability when receiving UDPTL FAX data http://downloads.asterisk.org/pub/security/AST-2016-003.pdf
- AST-2016-002: File descriptor exhaustion in chan_sip http://downloads.asterisk.org/pub/security/AST-2016-002.pdf
- AST-2016-001: BEAST vulnerability in HTTP server http://downloads.asterisk.org/pub/security/AST-2016-001.pdf
Fuente: Hispasec
