Posible fuga de datos en Asterisk y en Certified Asterisk

Fecha de publicación:

20/09/2017

Importancia:

5 - Crítica

Recursos afectados:

Asterisk Open Source, versiones 11.x, 13.x y 14.x
Certified Asterisk, versiones 11.6 y 13.13

Descripción:

Se ha publicado una vulnerabilidad crítica que afecta al software Asterisk en su proyecto de software libre así como en su versión Certified cuyo soporte corre a cargo de Digium. Esta vulnerabilidad está relacionada con una vulnerabilidad anterior, que no fue completamente corregida.

Solución:

Se recomienda actualizar a las siguientes versiones:

Asterisk, versiones 11.25.3, 13.17.2 y 14.6.2
Certified Asterisk, versiones 11.6-cert17 y 13.13-cert5

Detalle:

Un atacante remoto no autenticado podría explotar la vulnerabilidad de severidad crítica mediante un ataque sobre RTP/RTCP, ya que se realiza una validación insuficiente cuando se combina "NAT" con “symmetric_rtp”. Una explotación exitosa de dicha vulnerabilidad podría provocar una fuga de datos.

Esta vulnerabilidad esta relacionada con el aviso AST-2017-005, que no fue completamente corregida.

Referencias:

Asterisk Project Security Advisory - AST-2017-008

Múltiples vulnerabilidades en Asterisk y en Certified Asterisk

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Posible fuga de datos en Asterisk y en Certified Asterisk

Ejecución remota de código en VMware vRealize Business for Cloud

Múltiples vulnerabilidades en productos de Cisco

21 Nails: Múltiples vulnerabilidades en Exim Mail Server

Omisión de autenticación en router R7000 de NETGEAR

Omisión de autenticación en HPE Edgeline Infrastructure Manager