• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Vulnerabilidades en productos Asterisk

12/06/2018

=============================================
CVE-
Fecha de lanzamiento: 11/06/2018
Gravedad: Alta
=============================================

VULNERABILIDAD

Asterisk ha publicado dos boletines de seguridad, uno de ellos de severidad crítica y otro baja, que podrían permitir a un atacante causar una denegación de servicio o acceder a información confidencial.

INFORMACIÓN

Asterisk es un programa de software libre (bajo licencia GPL) que proporciona funcionalidades de una central telefónica (PBX).

DESCRIPCIÓN

Cuando se hace una conexión a Asterisk vía TCP/TLS y el cliente se desconecta de forma repentina o envía un mensaje especialmente diseñado, puede provocar que el servicio entre en bucle infinito pudiendo causar una denegación de servicio

SISTEMAS AFECTADOS

- Asterisk Open Source:

* 13.x desde la versión 13.10.0 y anteriores.
* 14.x todas las versiones.
* 15.x todas las versiones.

- Certified Asterisk 13.18 y 13.21 todas las versiones.

SOLUCIÓN

Asterisk recomienda actualizar los productos afectados:

- Asterisk Open Source actualizar a las versiones 15.4.1, 13.21.1 y 14.7.7.
- Certified Asterisk actualizar a las versiones 13.18-cert4 y 13.21-cert2.

FUENTE

https://www.certsi.es/