Nuevas versiones de Asterisk fueron publicadas para solucionar dos fallas de denegación de servicio.
Asterisk es una implementación de una central telefónica (PBX). Como cualquier PBX, permite interconectar teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP o a la línea telefónica tradicional. Asterisk incluye buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Funciona en plataformas Linux, BSD, MacOSX, Solaris y Windows.
La primer falla se produce cuando la interfaz de administración está activa. Un error en la función 'send_string' de 'manager.c' permite a un atacante remoto causar una denegación de servicio abriendo conexiones, por un consumo excesivo de CPU.
El segundo error solucionado se produce al abrir y cerrar conexiones TCP con ciertas API. No se valida de manera correcta el valor de un puntero, pudiendo causar una referencia a NULL y por tanto, una denegación de servicio.
Recomendamos que deben actualizar desde http://www.asterisk.org/downloads a las versiones 1.6.1.23, 1.6.2.17.1 o 1.8.3.1 que solucionan estos problemas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4529
Asterisk es una implementación de una central telefónica (PBX). Como cualquier PBX, permite interconectar teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP o a la línea telefónica tradicional. Asterisk incluye buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Funciona en plataformas Linux, BSD, MacOSX, Solaris y Windows.
La primer falla se produce cuando la interfaz de administración está activa. Un error en la función 'send_string' de 'manager.c' permite a un atacante remoto causar una denegación de servicio abriendo conexiones, por un consumo excesivo de CPU.
El segundo error solucionado se produce al abrir y cerrar conexiones TCP con ciertas API. No se valida de manera correcta el valor de un puntero, pudiendo causar una referencia a NULL y por tanto, una denegación de servicio.
Recomendamos que deben actualizar desde http://www.asterisk.org/downloads a las versiones 1.6.1.23, 1.6.2.17.1 o 1.8.3.1 que solucionan estos problemas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4529
No hay comentarios:
Publicar un comentario