Se ha publicado una vulnerabilidad
crítica que afecta al software Asterisk en su proyecto de software libre así
como en su versión Certified cuyo soporte corre a cargo de Digium. Esta
vulnerabilidad está relacionada con una vulnerabilidad anterior, que no fue
completamente corregida, catalogada de Importancia: 5 - Crítica
Recursos afectados:
·
Asterisk
Open Source, versiones 11.x, 13.x y 14.x
·
Certified
Asterisk, versiones 11.6 y 13.13
Detalle e Impacto de
la actualización
Un atacante remoto no autenticado
podría explotar la vulnerabilidad de severidad crítica mediante un ataque sobre
RTP/RTCP, ya que se realiza una validación insuficiente cuando se combina
"NAT" con “symmetric_rtp”. Una explotación exitosa de dicha
vulnerabilidad podría provocar una fuga de datos.
Esta vulnerabilidad esta relacionada
con el aviso AST-2017-005, que no fue completamente corregida.
Recomendación
Se recomienda actualizar a las
siguientes versiones:
·
Asterisk,
versiones 11.25.3, 13.17.2 y 14.6.2
·
Certified
Asterisk, versiones 11.6-cert17 y 13.13-cert5
Más información
· Asterisk Project
Security Advisory - AST-2017-008 http://downloads.asterisk.org/pub/security/AST-2017-008.html
· Múltiples
vulnerabilidades en Asterisk y en Certified Asterisk https://www.certsi.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-asterisk-y-certified-asterisk
Fuente: INCIBE