Asterisk
ha publicado siete boletines de seguridad (AST-2014-012 al AST-2014-018) que
solucionan otras tantas vulnerabilidades que podrían permitir a atacantes
remotos permitir acceso no autorizado, ataques
de denegación de servicio o de elevación de privilegios.
Asterisk es una implementación de
una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden
conectar un número determinado de teléfonos para hacer llamadas entre sí e
incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el
exterior. Asterisk es ampliamente usado e incluye un gran número de
interesantes características: buzón de voz, conferencias, IVR, distribución
automática de llamadas, etc. Además el software creado por Digium está
disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El primero de los problemas (
AST-2014-012)
reside en el tratamiento de listas de control de acceso con múltiples
direcciones IP mezcladas lo que podría permitir el tráfico no autorizado. Este
problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x, 12.x y 13.x; así
como a Certified
Asterisk 11.6 y 1.8.28.
Por otra parte, en el boletín
AST-2014-013,
se trata una vulnerabilidad que podría el acceso no autorizado debido a que no
se cargan debidamente las listas de control de acceso definidas en pjsip.conf.
Este problema afecta a
Asterisk Open Source 12.x y 12.x; así como a Certified
Asterisk 11.6.
El boletín
AST-2014-014
trata una vulnerabilidad en ConfBridge que podría provocar condiciones de
denegación de servicio. Este problema afecta a Asterisk Open Source 11.x y a
Certified
Asterisk 11.6.
Dos de los problemas (
AST-2014-015
y
AST-2014-016)
residen en el controlador del canal PJSIP y podrían permitir a un atacante
remoto provocar condiciones de denegación de servicio. Afectan a las ramas 12 y
13 de Asterisk Open Source.
En el boletín
AST-2014-017
se soluciona una vulnerabilidad de escala de privilegios a través de las
funciones dialplan y actions. Este problema afecta a las ramas 11.x, 12.x y 13.x
de Asterisk Open Source y a Certified Asterisk 11.6.
Por último, el boletín
AST-2014-018,
soluciona una vulnerabilidad de escalada de privilegios a través de la función
DB del dialplan. Este problema afecta a Asterisk Open Source 1.8.x y las ramas
11.x, 12.x y 13.x; así como a Certified Asterisk 11.6 y 1.8.x.
Se han publicado las versiones Asterisk
Open Source 1.8.32.1, 11.14.1, 12.7.1 y 13.0.1; y Certified Asterisk 1.8.28-cert3
y 11.6-cert8 que solucionan los problemas descritos. También existen parches individuales
para solucionar cada una de las vulnerabilidades, disponibles a través de los diferentes
boletines publicados.
Más información:
Mixed IP address families in access control
lists may permit unwanted traffic
PJSIP ACLs are not loaded on startup
High call load may result in hung channels in
ConfBridge
Remote Crash Vulnerability in PJSIP channel
driver
Remote Crash Vulnerability in PJSIP channel
driver
Permission escalation through ConfBridge
actions/dialplan functions
Antonio Ropero
