Múltiples vulnerabilidades en diferentes componentes de Digium Asterisk

Fecha de publicación: 
09/11/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Digium Asterisk 13.x, 14.x, 15x
  • Digium Certified Asterisk 13.13.x
Descripción: 

Han sido identificadas tres vulnerabilidades en componentes de Digium Asterisk las cuales han sido categorizadas como: 1 de severidad baja, 1 de severidad media y 1 de severidad crítica.

Solución: 

Digium, la compañía propietaria de los productos Asterisk ha publicado diferentes parches para todos los productos afectados los cuales pueden ser encontrados en los siguientes enlaces:

Detalle: 

Vulnerabilidad catalogada con severidad crítica:

  • Una vulnerabilidad en el componente “pjproject” puede permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio en el sistema debido al inapropiado procesamiento de valores inválidos en el “Cseq” y el puerto de la cabecera “Via”.

Vulnerabilidad catalogada con severidad media:

  • Una vulnerabilidad que afecta al registro “CDR” puede permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio debido a la escasa comprobación de límites. Un atacante puede aprovechar esta vulnerabilidad mediante el envío de una gran cantidad de caracteres provocando un desbordamiento de buffer.

Vulnerabilidd catalogada con severidad baja:

  • Una vulnerabilidad en el componente “pjsip” puede permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio en el sistema afectado debido al escaso manejo de sesiones de los objetos. Un atacante puede explotar esta vulnerabilidad mediante el envío de sesiones de objetos al producto afectado para su procesamiento.