Inicio / Alerta Temprana / Avisos Seguridad / Posible fuga de datos en Asterisk y en Certified Asterisk

Posible fuga de datos en Asterisk y en Certified Asterisk

Fecha de publicación: 
20/09/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Asterisk Open Source, versiones 11.x, 13.x y 14.x
  • Certified Asterisk, versiones 11.6 y 13.13
Descripción: 

Se ha publicado una vulnerabilidad crítica que afecta al software Asterisk en su proyecto de software libre así como en su versión Certified cuyo soporte corre a cargo de Digium. Esta vulnerabilidad está relacionada con una vulnerabilidad anterior, que no fue completamente corregida.

Solución: 

Se recomienda actualizar a las siguientes versiones:

  • Asterisk, versiones 11.25.3, 13.17.2 y 14.6.2
  • Certified Asterisk, versiones 11.6-cert17 y 13.13-cert5
Detalle: 

Un atacante remoto no autenticado podría explotar la vulnerabilidad de severidad crítica mediante un ataque sobre RTP/RTCP, ya que se realiza una validación insuficiente cuando se combina "NAT" con “symmetric_rtp”. Una explotación exitosa de dicha vulnerabilidad podría provocar una fuga de datos.

Esta vulnerabilidad esta relacionada con el aviso AST-2017-005, que no fue completamente corregida.