9 de noviembre de 2017

Múltiples vulnerabilidades en diferentes componentes de Digium Asterisk

Han sido identificadas tres vulnerabilidades en componentes de Digium Asterisk las cuales han sido categorizadas como: 1 de severidad baja, 1 de severidad media y 1 de severidad crítica, catalogada de importancia 5 - Crítica
Recursos afectados:
  1. Digium Asterisk 13.x, 14.x, 15x
  2. Digium Certified Asterisk 13.13.x
Detalle e Impacto de vulnerabilidades
  • Vulnerabilidad catalogada con severidad crítica.- Una vulnerabilidad en el componente “pjproject” puede permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio en el sistema debido al inapropiado procesamiento de valores inválidos en el “Cseq” y el puerto de la cabecera “Via”.
  • Vulnerabilidad catalogada con severidad media.- Una vulnerabilidad que afecta al registro “CDR” puede permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio debido a la escasa comprobación de límites. Un atacante puede aprovechar esta vulnerabilidad mediante el envío de una gran cantidad de caracteres provocando un desbordamiento de buffer.
  • Vulnerabilidd catalogada con severidad baja .- Una vulnerabilidad en el componente “pjsip” puede permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio en el sistema afectado debido al escaso manejo de sesiones de los objetos. Un atacante puede explotar esta vulnerabilidad mediante el envío de sesiones de objetos al producto afectado para su procesamiento.
Recomendación
Digium, la compañía propietaria de los productos Asterisk ha publicado diferentes parches para todos los productos afectados los cuales pueden ser encontrados en los siguientes enlaces:
  1. Asterisk 13.x: parche 1parche 2 parche 3
  2. Asterisk 14.x: parche 1, parche 2 parche 3
  3. Asterisk 15.x: parche 1parche 2 parche 3
  4. Certified Asterisk 13.13: parche 1parche 2 parche 3
Más información
Fuente: INCIBE
Publicado por en
Etiquetas: