Posible fuga de datos en Asterisk y en Certified Asterisk

Fecha de publicación:

20/09/2017

Importancia:

5 - Crítica

Recursos afectados:

Asterisk Open Source, versiones 11.x, 13.x y 14.x
Certified Asterisk, versiones 11.6 y 13.13

Descripción:

Se ha publicado una vulnerabilidad crítica que afecta al software Asterisk en su proyecto de software libre así como en su versión Certified cuyo soporte corre a cargo de Digium. Esta vulnerabilidad está relacionada con una vulnerabilidad anterior, que no fue completamente corregida.

Solución:

Se recomienda actualizar a las siguientes versiones:

Asterisk, versiones 11.25.3, 13.17.2 y 14.6.2
Certified Asterisk, versiones 11.6-cert17 y 13.13-cert5

Detalle:

Un atacante remoto no autenticado podría explotar la vulnerabilidad de severidad crítica mediante un ataque sobre RTP/RTCP, ya que se realiza una validación insuficiente cuando se combina "NAT" con “symmetric_rtp”. Una explotación exitosa de dicha vulnerabilidad podría provocar una fuga de datos.

Esta vulnerabilidad esta relacionada con el aviso AST-2017-005, que no fue completamente corregida.

Referencias:

Asterisk Project Security Advisory - AST-2017-008

Múltiples vulnerabilidades en Asterisk y en Certified Asterisk

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Posible fuga de datos en Asterisk y en Certified Asterisk

Múltiples vulnerabilidades en HPE

Múltiples vulnerabilidades en productos HPE

Ejecución arbitraria de código PHP en el core de Drupal

Actualización de seguridad de Joomla! 3.9.23

Vulnerabilidad de inyección de comandos en múltiples productos de VMware