Via: HispaSec
Se ha descubierto un fallo en Asterisk que podría permitir a un atacante remoto efectuar una denegación de servicio (DoS).
Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP. Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más. Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.
Cuando se procesan paquetes SIP en modo «pedantic»‘ se pasa el valor «From» de las cabeceras a la función ast_uri_decode sin que sea validado. Esto podría ser aprovechado por un atacante remoto para efectuar una denegación de servicio a través de paquetes SIP especialmente manipulados.
Se consideran vulnerables todas las versiones anteriores a la 1.2.29 Open Source y B.2.5.3 Business Edition.
Se recomienda actualizar a la última versión disponible en:
http://www.asterisk.org/downloads
Más información:
Asterisk Project Security Advisory – AST-2008-008 http://downloads.digium.com/pub/security/AST-2008-008.html
0012607: SIP INVITE msg without «From» field crashes asterisk 1.2.28 if pedantic=yes
http://bugs.digium.com/view.php?id=12607
Laboratorio Hispasec
Excelente la información… El call center asterisk es de mucha utilidad para poder comunicarnos con un buen servicio con las personas que deseamos.