Han sido
identificadas tres vulnerabilidades en componentes de Digium Asterisk las
cuales han sido categorizadas como: 1 de severidad baja, 1 de severidad media y
1 de severidad crítica, catalogada de importancia 5 - Crítica
Recursos afectados:
- Digium Asterisk 13.x, 14.x, 15x
- Digium Certified Asterisk 13.13.x
Detalle e Impacto de vulnerabilidades
- Vulnerabilidad catalogada con severidad crítica.- Una vulnerabilidad en el componente “pjproject” puede permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio en el sistema debido al inapropiado procesamiento de valores inválidos en el “Cseq” y el puerto de la cabecera “Via”.
- Vulnerabilidad catalogada con severidad media.- Una vulnerabilidad que afecta al registro “CDR” puede permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio debido a la escasa comprobación de límites. Un atacante puede aprovechar esta vulnerabilidad mediante el envío de una gran cantidad de caracteres provocando un desbordamiento de buffer.
- Vulnerabilidd catalogada con severidad baja .- Una vulnerabilidad en el componente “pjsip” puede permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio en el sistema afectado debido al escaso manejo de sesiones de los objetos. Un atacante puede explotar esta vulnerabilidad mediante el envío de sesiones de objetos al producto afectado para su procesamiento.
Digium, la compañía propietaria de los
productos Asterisk ha publicado diferentes parches para todos los productos
afectados los cuales pueden ser encontrados en los siguientes enlaces:
- Asterisk 13.x: parche 1, parche 2 y parche 3
- Asterisk 14.x: parche 1, parche 2 y parche 3
- Asterisk 15.x: parche 1, parche 2 y parche 3
- Certified Asterisk 13.13: parche 1, parche 2 y parche 3
Más información
- Asterisk Project Security Advisory - AST-2017-009 http://downloads.asterisk.org/pub/security/AST-2017-009.html
- Asterisk Project Security Advisory - AST-2017-010 http://downloads.asterisk.org/pub/security/AST-2017-010.html
- Asterisk Project Security Advisory - AST-2017-011 http://downloads.asterisk.org/pub/security/AST-2017-011.html
Fuente: INCIBE