Inicio / Content / Boletín de INCIBE-CERT del 07-03-2022

Boletín de INCIBE-CERT del 07-03-2022

Múltiples vulnerabilidades en productos de Asterisk

Fecha de publicación: 
07/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • Asterisk Open Source:
    • versiones 16.x;
    • versiones 18.x;
    • versiones 19.x.
  • Certified Asterisk: versiones 16.x.
Descripción: 

Asterisk ha publicado 3 vulnerabilidades: 2 de severidad crítica y 1 media, por las que un atacante podría ejecutar código arbitrario o realizar una denegación de servicio o un acceso a la memoria fuera de límites.

Solución: 

Si se utiliza "with-pjproject-bundled", actualizar o instalar una versión de Asterisk de las que se indican a continuación:

  • Asterisk Open Source:
    • 16.24.1;
    • 18.10.1;
    • 19.2.1.
  • Certified Asterisk:
    • 16.8-cert13.

De lo contrario, instalar la versión apropiada de pjproject que contiene el parche.

Detalle: 
  • La longitud de la cabecera en los mensajes STUN entrantes, que contienen un atributo ERROR-CODE, no se comprueba correctamente. Esto puede dar lugar a un desbordamiento de enteros. Ten en cuenta que esto requiere que el soporte de ICE o WebRTC esté en uso con una parte remota maliciosa. Se ha asignado el identificador CVE-2021-37706 para esta vulnerabilidad.
  • Cuando se actúa como UAC y  se realiza una llamada saliente a un objetivo que luego se bifurca, Asterisk puede experimentar un comportamiento indefinido (fallos, cuelgues, etc.) después de que se libere prematuramente un conjunto de diálogos. Se ha asignado el identificador CVE-2022-23608 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2022-21723.

Encuesta valoración