De Hispasec – Una al Día: Boletines de seguridad para Asterisk (05/02/2015)

Saludos nuevamente.

Hoy viendo rápido los RSS de Hispasec – Una al Día vi dos noticias referentes a actualizaciones de sistemas. Les reproduzco las noticias. Aquí va la primera:

Boletines de seguridad para Asterisk
viernes, 5 de febrero de 2016

El proyecto Asterisk ha publicado recientemente tres boletines de seguridad que solucionan errores que podrían causar revelación de información y denegación de servicio. Todos ellos de forma remota y con exploits conocidos.

asterisk-logo2

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

En el primer boletín AST-2016-001, se encuentra afectado el servidor HTTP al tener una configuración por defecto que permite la vulnerabilidad BEAST si TLS se encuentra activado. Por lo que podría realizarse un ataque de hombre en el medio y llevar al descifrado de las comunicaciones.

El segundo boletín AST-2016-002, soluciona un agotamiento de descriptores de ficheros relacionado con el valor timert1 en el fichero sip.conf. Al configurar un valor mayor a 1245 podría causar un desbordamiento de enteros retransmitiendo largos tiempos de espera, estos tiempos de espera agotarían los descriptores de ficheros y causarían denegación de servicio.

El último boletín AST-2016-003, arregla también un fallo que podría causar denegación de servicio debido a errores de acceso a memoria. Si se pierde un paquete UDPTL se pone en marcha el mecanismo de corrección de errores de paquetes de redundancia, paquetes de redundancia con un tamaño cero causarían el uso de un búfer no inicializado.

Se ven afectadas las versiones 1.8.x, 11.x, 12.x, 13.x de Asterisk Open Source y 1.8.28, 11.6, 13.1 de Certified Asterisk. Es necesario actualizar a 11.21.1, 13.7.1 de Asterisk Open Source y 11.6-cert12, 13.1-cert3 de Certified Asterisk por los cauces oficiales.

 

Más información:

AST-2016-003: Remote crash vulnerability when receiving UDPTL FAX data

http://downloads.asterisk.org/pub/security/AST-2016-003.pdf

AST-2016-002: File descriptor exhaustion in chan_sip

http://downloads.asterisk.org/pub/security/AST-2016-002.pdf

AST-2016-001: BEAST vulnerability in HTTP server

http://downloads.asterisk.org/pub/security/AST-2016-001.pdf

 

Fernando Castillo

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Asterisk. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *