Múltiples vulnerabilidades en productos de Asterisk
Fecha de publicación:
07/03/2022
Importancia:
5 -
Crítica
Recursos afectados:
- Asterisk Open Source:
- versiones 16.x;
- versiones 18.x;
- versiones 19.x.
- Certified Asterisk: versiones 16.x.
Descripción:
Asterisk ha publicado 3 vulnerabilidades: 2 de severidad crítica y 1 media, por las que un atacante podría ejecutar código arbitrario o realizar una denegación de servicio o un acceso a la memoria fuera de límites.
Solución:
Si se utiliza "with-pjproject-bundled", actualizar o instalar una versión de Asterisk de las que se indican a continuación:
- Asterisk Open Source:
- 16.24.1;
- 18.10.1;
- 19.2.1.
- Certified Asterisk:
- 16.8-cert13.
De lo contrario, instalar la versión apropiada de pjproject que contiene el parche.
Detalle:
- La longitud de la cabecera en los mensajes STUN entrantes, que contienen un atributo ERROR-CODE, no se comprueba correctamente. Esto puede dar lugar a un desbordamiento de enteros. Ten en cuenta que esto requiere que el soporte de ICE o WebRTC esté en uso con una parte remota maliciosa. Se ha asignado el identificador CVE-2021-37706 para esta vulnerabilidad.
- Cuando se actúa como UAC y se realiza una llamada saliente a un objetivo que luego se bifurca, Asterisk puede experimentar un comportamiento indefinido (fallos, cuelgues, etc.) después de que se libere prematuramente un conjunto de diálogos. Se ha asignado el identificador CVE-2022-23608 para esta vulnerabilidad.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2022-21723.
Referencias:
Etiquetas: