Posible fuga de datos en Asterisk y en Certified Asterisk
Fecha de publicación:
20/09/2017
Importancia:
5 -
Crítica
Recursos afectados:
- Asterisk Open Source, versiones 11.x, 13.x y 14.x
- Certified Asterisk, versiones 11.6 y 13.13
Descripción:
Se ha publicado una vulnerabilidad crítica que afecta al software Asterisk en su proyecto de software libre así como en su versión Certified cuyo soporte corre a cargo de Digium. Esta vulnerabilidad está relacionada con una vulnerabilidad anterior, que no fue completamente corregida.
Solución:
Se recomienda actualizar a las siguientes versiones:
- Asterisk, versiones 11.25.3, 13.17.2 y 14.6.2
- Certified Asterisk, versiones 11.6-cert17 y 13.13-cert5
Detalle:
Un atacante remoto no autenticado podría explotar la vulnerabilidad de severidad crítica mediante un ataque sobre RTP/RTCP, ya que se realiza una validación insuficiente cuando se combina "NAT" con “symmetric_rtp”. Una explotación exitosa de dicha vulnerabilidad podría provocar una fuga de datos.
Esta vulnerabilidad esta relacionada con el aviso AST-2017-005, que no fue completamente corregida.
Referencias:
Etiquetas: