Posible fuga de datos en Asterisk y en Certified Asterisk

Fecha de publicación:

20/09/2017

Importancia:

5 - Crítica

Recursos afectados:

Asterisk Open Source, versiones 11.x, 13.x y 14.x
Certified Asterisk, versiones 11.6 y 13.13

Descripción:

Se ha publicado una vulnerabilidad crítica que afecta al software Asterisk en su proyecto de software libre así como en su versión Certified cuyo soporte corre a cargo de Digium. Esta vulnerabilidad está relacionada con una vulnerabilidad anterior, que no fue completamente corregida.

Solución:

Se recomienda actualizar a las siguientes versiones:

Asterisk, versiones 11.25.3, 13.17.2 y 14.6.2
Certified Asterisk, versiones 11.6-cert17 y 13.13-cert5

Detalle:

Un atacante remoto no autenticado podría explotar la vulnerabilidad de severidad crítica mediante un ataque sobre RTP/RTCP, ya que se realiza una validación insuficiente cuando se combina "NAT" con “symmetric_rtp”. Una explotación exitosa de dicha vulnerabilidad podría provocar una fuga de datos.

Esta vulnerabilidad esta relacionada con el aviso AST-2017-005, que no fue completamente corregida.

Referencias:

Asterisk Project Security Advisory - AST-2017-008

Múltiples vulnerabilidades en Asterisk y en Certified Asterisk

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Posible fuga de datos en Asterisk y en Certified Asterisk

Múltiples vulnerabilidades en productos de Cisco

Múltiples vulnerabilidades en productos VMware

Múltiples vulnerabilidades en Xen

Evasión de autenticación en Prisma Cloud Compute de Palo Alto Networks

Ejecución remota de código en Operations Bridge Manager de Micro Focus