Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El primero de los problemas (AST-2014-009) reside en el tratamiento de peticiones SIP SUBSCRIBE específicamente manipuladas y podría permitir a un atacante remoto provocar condiciones de denegación de servicio (CVE-2014-6609). Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x y 12.x; así como a Certified Asterisk 11.6 y 1.8.15. Se ha publicado la versión Asterisk Open Source 12.5.1 que soluciona este problema.
Por otra parte, en el boletín AST-2014-010, se trata una vulnerabilidad (con CVE-2014-6610) que podría permitir a atacantes remotos autenticados provocar denegaciones de servicio cuando se tratan mensajes “out of call” en determinadas configuraciones dialplan. Este problema afecta a Asterisk Open Source 11.x y 12.x; así como a Certified Asterisk 11.6.
Para corregir este problema se han publicado los siguientes parches:
Para Asterisk 11:
http://downloads.asterisk.org/pub/security/AST-2014-010-11.diff
Para Asterisk 12:
http://downloads.asterisk.org/pub/security/AST-2014-010-12.diff
Para Certified Asterisk 11.6:
http://downloads.asterisk.org/pub/security/AST-2014-010-11.6.diff
Más información:
Remote crash when handling out of call message in certain dialplan configurations
http://downloads.asterisk.org/pub/security/AST-2014-010.html
Remote crash based on malformed SIP subscription requests
http://downloads.asterisk.org/pub/security/AST-2014-009.html
Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero