Avisos 20 de March, 2012

Vulnerabilitats i actualització d'Asterisk

L'empresa Digium, creadora del popular programari de telefonia de codi obert Asterisk, ha publicat una actualització per solucionar dues vulnerabilitats. Una d'elles permetria a un atacant sense autenticació prendre el control d'un sistema Asterisk de forma remota.

Recursos afectats:
Asterisk Open Source 1.4.x totes les versions.
 Asterisk Open Source 1.6.2.x totes les versions.
 Asterisk Open Source 1.8.x totes les versions.
 Asterisk Open Source 10.x totes les versions.
 

Impacte: Execució remota de codi, i denegació de servei.

Solució:

Actualitzar a una de les versions que solucionen les vulnerabilitats:
 Asterisk Open Source 1.4.44
 Asterisk Open Source 1.6.2.23
 Asterisk Open Source 1.8.10.1
 Asterisk Open Source 10.2.1



Detall:

El fabricant ha publicat dos avisos de seguretat amb la finalitat de detallar les vulnerabilitats solucionades:
 
AST-2012-002 (impacte menor): un atacant podria provocar un tancament inesperat, i per tant una denegació de servei, mitjançant l'enviament de paquets especialment manipulats. La vulnerabilitat consisteix en un desbordament de la memòria intermèdia utilitzat per emmagatzemar les mostres d'àudio. L'atacant pot provocar un desbordament enviant un paquet d'àudio molt gran, o negociant una taxa de mostreig major a 32kHz. Aquesta vulnerabilitat afecta només a servidors Asterisk amb un pla de marcat, que utilitzi l'aplicació Milliwatt amb l'opció "o".
 
AST-2012-003 (impacte crític): un atacant remot sense autenticació que tingui accés a la interfície de gestió web d'Asterisk, pot provocar un desbordament de memòria intermèdia a la pila, mitjançant l'enviament d'una petició HTTP amb un valor molt gran per a la cadena "HTTP Digest Authentication". Això podria permetre executar codi arbitrari, i prendre el control de la màquina.
 
Referències
 Remote Crash Vulnerability in Milliwatt Application
 http://downloads.asterisk.org/pub/security/AST-2012-002.pdf
 Stack Buffer Overflow in HTTP Manager (avís de seguretat oficial).
 http://downloads.asterisk.org/pub/security/AST-2012-003.pdf

Publicat a: Avisos