Asterisk ha publicado dos boletines de
seguridad, uno de ellos de severidad crítica y otro baja, que podrían permitir
a un atacante causar una denegación de servicio o acceder a información
confidencial, catalogadas de Importancia: 5 – Crítica
Detalle
de vulnerabilidades
Cuando se hace una conexión a Asterisk
vía TCP/TLS y el cliente se desconecta de forma repentina o envía un mensaje
especialmente diseñado, puede provocar que el servicio entre en bucle infinito
pudiendo causar una denegación de servicio.
Recursos
afectados:
1. Asterisk Open Source:
1.1. 13.x desde la versión
13.10.0 y anteriores.
1.2. 14.x todas las
versiones.
1.3. 15.x todas las
versiones.
2. Certified Asterisk
13.18 y 13.21 todas las versiones.
Recomendación
Asterisk recomienda actualizar los productos
afectados:
Asterisk Open Source actualizar a las
versiones 15.4.1, 13.21.1 y 14.7.7.
Certified Asterisk actualizar a las
versiones 13.18-cert4 y 13.21-cert2.
Más
información
·
Asterisk
Project Security Advisory - AST-2018-007 http://downloads.asterisk.org/pub/security/AST-2018-007.html
·
Asterisk
Project Security Advisory - AST-2018-008 http://downloads.asterisk.org/pub/security/AST-2018-008.html
Fuente: INCIBE