Corrigieron dos vulnerabilidades en Asterisk, en sus versiones 1.8.x y 10.x, que permiten a atacantes remotos provocar denegaciones de servicio.
Asterisk es una implementación de una central telefónica (PBX) de código abierto. Se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente utilizado e incluye un gran número de características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
La primera de las vulnerabilidades, con identificador AST-2012-007 (CVE-2012-2947), está basada en el controlador de canal "IAX2". Un atacante remoto puede forzar a la aplicación a intentar usar un puntero no válido pudiendo hacer que dejase de funcionar. Esta vulnerabilidad fue reportada en marzo de 2012.
La segunda (CVE-2012-2948), trata de un error de referencia a puntero nulo en el controlador de canal "SCCP" que, usado por un atacante remoto, causaría que el servicio dejase de estar disponible para los usuarios legítimos. Esta fue reportada el 22 de mayo.
Las vulnerabilidades se corrigen en las versiones 1.8.12.1 y 10.4.1 publicadas en los boletines AST-2012-007 y AST-2012-008.
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/05/solucionadas-dos-vulnerabilidades-en.html
Asterisk es una implementación de una central telefónica (PBX) de código abierto. Se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente utilizado e incluye un gran número de características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
La primera de las vulnerabilidades, con identificador AST-2012-007 (CVE-2012-2947), está basada en el controlador de canal "IAX2". Un atacante remoto puede forzar a la aplicación a intentar usar un puntero no válido pudiendo hacer que dejase de funcionar. Esta vulnerabilidad fue reportada en marzo de 2012.
La segunda (CVE-2012-2948), trata de un error de referencia a puntero nulo en el controlador de canal "SCCP" que, usado por un atacante remoto, causaría que el servicio dejase de estar disponible para los usuarios legítimos. Esta fue reportada el 22 de mayo.
Las vulnerabilidades se corrigen en las versiones 1.8.12.1 y 10.4.1 publicadas en los boletines AST-2012-007 y AST-2012-008.
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/05/solucionadas-dos-vulnerabilidades-en.html
No hay comentarios:
Publicar un comentario