Boletines de seguridad para Asterisk

Asterisk ha publicado seis boletines de seguridad (AST-2018-001 al AST-2018-006) que solucionan otras tantas vulnerabilidades que podrían permitir ataques de denegación de servicio


Asterisk es una implementación de una central telefónica (PBX) de código abierto. coque iphone Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. coque iphone en ligne Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. coque iphone Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

Las vulnerabilidades, ordenadas por boletín, son las siguientes:

  • AST-2018-001: un problema que podría causar un bloqueo cuando una consulta a los registros del soporte RTP para un ‘payload’ dinámico resulta en un ‘codec’ de tipo diferente al negociado para el flujo RTP. Esta vulnerabilidad tiene asignado el identificador CVE-2018-7285 y afecta a la rama 15.x de Asterisk Open Source.
  • AST-2018-002: un error al procesar la descripción de formato de medios no válidos con el algoritmo de análisis ‘sdp’ de ‘pjproject’. No se ha asignado ningún identificador CVE a este problema que afecta a las versiones de Asterisk Open Source comprendidas entre la 13 y 15 así como a Certified Asterisk 13.18
  • AST-2018-003: un error producido al utilizar el controlador de canal ‘pjsip’ cuando la función de recuperación ‘fmtp’ de ‘pjproject’ no es capaz de verificar si el valor del atributo ‘fmtp’ está vacío (se establece como vacío si se analizó previamente como no válido). coque iphone Este problema, sin CVE asignado, afecta a Asterisk Open Source 13.x, 14.x y 15.x así como a Certified Asterisk 13.18.
  • AST-2018-004: una falta de comprobación de la cantidad de cabeceras ‘Accept’ cuando el módulo ‘res_pjsip_pubsub’ procesa una petición SUBSCRIBE que podría causar una escritura de memoria fuera de límites. El CVE CVE-2018-7284 se ha asignado a esta vulnerabilidad que afecta a las ramas 13, 14 y 15 de Asterisk Open Source y la versión 13.18 de Certified Asterisk.
  • AST-2018-005: un fallo de segmentación podría ocurrir al recibir un gran número de mensajes INVITE autenticados y finalizar la conexión de repente (CVE-2018-7286). Se encuentran afectados Asterisk Open Source 13.x, 14.x, 15.x y Certified Asterisk 13.18.
  • AST-2018-0016: una falta de comprobación de la longitud de los ‘websocket’ podría causar un bloqueo al intentar leer un ‘payload’ de tamaño 0. coque iphone 6 Esta vulnerabilidad, identificada como CVE-2018-7287, únicamente afecta a aquellas instalaciones de Asterisk con el servidor HTTP habilitado (por defecto no lo está). coque iphone soldes Afecta a la rama 15.x de Asterisk Open Source.


Se han publicado las versiones Asterisk Open Source 13.19.2, 14.7.6, 15.2.2 y Certified Asterisk 13.18-cert3 que solucionan los problemas anteriormente descritos.