Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Digium Asterisk

Múltiples vulnerabilidades en Digium Asterisk

Fecha de publicación: 
23/05/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • 13 (.0, .1, .2, .3, .4, .5, .6, .7, .8, .10.0, .11.0, .12.0, .13.0, .14.0, .15.0)
  • 14 (.0, .1.0, .2.0, .3.0, .4.0)
  • 13.13 (.0)
Descripción: 

Se han reportado 3 vulnerabilidades en Digium Asterisk que pueden ser aprovechadas por un atacante para provocar la denegación del servicio.

Solución: 

Actualizar a las versiones de Asterisk Open Source 13.15.1 y 14.4.1.

Detalle: 

Las vulnerabilidades corregidas se detallan a continuación:

  • Un fallo en la librería multimedia de comunicación PJSIP. El fallo se produce por la falta de asignación del tamaño de búfer en el software afectado, y puede ser aprovechado mediante el envío de paquetes SIP manipulados que contengan un valor CSeq long en la cabecera , provocando así la caída del servicio.
  • Otro fallo en la librería indicada en el punto anterior, PJSIP, provocado por la lectura inadecuada de memoria por parte del software afectado puede ser aprovechado mediante el envío de paquetes manipulados.
  • Un fallo producido por la comprobación insuficiente de límites en el software afectado puede ser aprovechado por un atacante remoto, mediante el envío de paquetes SCCP al sistema afectado que tenga la funcionalidad the chan_skinny activada, para provocar el consumo excesivo de memoria que derive en la caída del servicio.