Asterisk ha publicado una
actualización de seguridad para solucionar una vulnerabilidad que podría
permitir a un atacante remoto autenticado ejecutar código arbitrario en los
sistemas afectados.
Asterisk es una implementación de una
central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden
conectar un número determinado de teléfonos para hacer llamadas entre sí e
incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el
exterior. Asterisk es ampliamente usado e incluye un gran número de
interesantes características: buzón de voz, conferencias, IVR, distribución
automática de llamadas, etc. Además el software creado por Digium está
disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
Detalle de la
actualización
· El
problema, descrito en el boletín AST-2017-001, reside en que no se realiza la
comprobación de tamaño cuando se asigna el campo usuario en un CDR (Call Detail
Record). Esto posibilita emplear una cadena demasiado larga y provocar un
desbordamiento de búfer, posibilitando la inyección remota de código. Afecta a
sistemas que hagan uso de CDR en determinadas configuraciones.
Recomendación
·
Afecta
a Asterisk Open Source 14.x y 13.x y a Certified Asterisk 13.13. Se han
publicado las versiones Asterisk Open Source 13.14.1 y 14.3.1 y Certified
Asterisk 13.13-cert3 que solucionan este problema.
·
También
se han publicado los siguientes parches:
1. Para Asterisk 13: http://downloads.asterisk.org/pub/security/AST-2017-001-13.diff
2. Para Asterisk 14: http://downloads.asterisk.org/pub/security/AST-2017-001-14.diff
3. Para Certified
Asterisk 13.13: http://downloads.asterisk.org/pub/security/AST-2017-001-13.13.diff
Más información:
·
Asterisk
Project Security Advisory - ASTERISK-2017-001 http://downloads.asterisk.org/pub/security/AST-2017-001.html
Fuente: Hispasec
