Asterisk ha publicado
seis boletines de seguridad (AST-2018-001 al AST-2018-006) que solucionan otras
tantas vulnerabilidades que podrían permitir ataques de denegación de servicio
Asterisk es una
implementación de una central telefónica (PBX) de código abierto. Como cualquier
PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas
entre sí e incluso conectarlos a un proveedor de VoIP para realizar
comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran
número de interesantes características: buzón de voz, conferencias, IVR,
distribución automática de llamadas, etc. Además el software creado por Digium
está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft
Windows.
Detalle de vulnerabilidades
AST-2018-001: un problema
que podría causar un bloqueo cuando una consulta a los registros del soporte
RTP para un 'payload' dinámico resulta en un 'codec' de tipo diferente al
negociado para el flujo RTP. Esta vulnerabilidad tiene asignado el
identificador CVE-2018-7285 y afecta a la rama 15.x de Asterisk Open Source.
AST-2018-002: un
error al procesar la descripción de formato de medios no válidos con el
algoritmo de análisis 'sdp' de 'pjproject'. No se ha asignado ningún
identificador CVE a este problema que afecta a las versiones de Asterisk Open
Source comprendidas entre la 13 y 15 así como a Certified Asterisk 13.18
AST-2018-003: un
error producido al utilizar el controlador de canal 'pjsip' cuando la función
de recuperación 'fmtp' de 'pjproject' no es capaz de verificar si el valor del
atributo 'fmtp' está vacío (se establece como vacío si se analizó previamente
como no válido). Este problema, sin CVE asignado, afecta a Asterisk Open Source
13.x, 14.x y 15.x así como a Certified Asterisk 13.18.
AST-2018-004: una
falta de comprobación de la cantidad de cabeceras 'Accept' cuando el módulo
'res_pjsip_pubsub' procesa una petición SUBSCRIBE que podría causar una
escritura de memoria fuera de límites. El CVE CVE-2018-7284 se ha asignado a
esta vulnerabilidad que afecta a las ramas 13, 14 y 15 de Asterisk Open Source
y la versión 13.18 de Certified Asterisk.
AST-2018-005: un
fallo de segmentación podría ocurrir al recibir un gran número de mensajes
INVITE autenticados y finalizar la conexión de repente (CVE-2018-7286). Se
encuentran afectados Asterisk Open Source 13.x, 14.x, 15.x y Certified Asterisk
13.18.
AST-2018-0016: una
falta de comprobación de la longitud de los 'websocket' podría causar un
bloqueo al intentar leer un 'payload' de tamaño 0. Esta vulnerabilidad,
identificada como CVE-2018-7287, únicamente afecta a aquellas instalaciones de
Asterisk con el servidor HTTP habilitado (por defecto no lo está). Afecta a la
rama 15.x de Asterisk Open Source.
Recomendación
Se han publicado las
versiones Asterisk Open Source 13.19.2, 14.7.6, 15.2.2 y Certified Asterisk
13.18-cert3 que solucionan los problemas anteriormente descritos. También
existen parches individuales para solucionar cada una de las vulnerabilidades,
disponibles a través de los diferentes boletines publicados.
Más información:
·
AST-2018-001:
http://downloads.asterisk.org/pub/security/AST-2018-001.html
Fuente: Hispasec