De Hispasec – Una al Día: Denegaciones de servicio en Asterisk (16/04/2016)

Denegaciones de servicio en Asterisk

sábado, 16 de abril de 2016

Asterisk ha publicado dos boletines de seguridad que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar condiciones de denegación de servicio.

asterisk-logo2

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primer problema (AST-2016-004) reside en el tratamiento de peticiones REGISTER entrantes si la cabecera Contact contiene una URI muy larga, lo que podría provocar que Asterisk deje de funcionar. Este problema afecta a Asterisk Open Source 13.x y a Certified Asterisk 13.1.

Por otra parte, en el boletín AST-2016-005, se trata un problema debido a que PJProject limita el número de conexiones TCP (por defecto aproximadamente a 60), además no cierra adecuadamente las conexiones TCP que acepta. Debido a esto un atacante remoto puede abrir múltiples conexiones TCP sin enviar datos para consumir todas las conexiones disponibles.

Se han publicado las versiones Asterisk Open Source 13.8.1 y Certified Asterisk 13.1-cert5 que solucionan estos problemas.

Más información:

Asterisk Project Security Advisory – AST-2016-004

Long Contact URIs in REGISTER requests can crash Asterisk

http://downloads.asterisk.org/pub/security/AST-2016-004.html

Asterisk Project Security Advisory – AST-2016-005

TCP denial of service in PJProject

http://downloads.asterisk.org/pub/security/AST-2016-005.html

Antonio Ropero

antonior@hispasec.com

 

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Asterisk, Seguridad, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *