permitir a un atacante remoto provocar condiciones de denegación de
servicio.
Asterisk es una aplicación de una central telefónica (PBX) de código
abierto. Como cualquier PBX, se pueden conectar un número determinado
de teléfonos para hacer llamadas entre sí e incluso conectarlos a un
proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk
es ampliamente usado e incluye un gran número de interesantes
características: buzón de voz, conferencias, IVR, distribución
automática de llamadas, etc. Además el software creado por Digium está
disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft
Windows.
El primero de los problemas reside en el tratamiento de paquetes SIP
específicamente manipulados que contengan un null, que podría modificar
las estructuras en memoria y provocar la caída del sistema. Otro
problema relacionado con paquetes SIP con el signo menor («<«) puede
provocar el acceso a un puntero nulo con la consiguiente caída de
servicio.
El último problema reside en el envío inadvertido de direcciones de
memoria a través de la red vía enlace IAX2, de forma que la parte remota
podría acceder a ella.
Se han publicado actualizaciones para solucionar estos problemas con las
versiones 1.4.41.1, 1.6.2.18.1, 1.8.4.3 y Business Edition C.3.7.3.
Disponibles desde: http://www.asterisk.org/
Remote crash vulnerability in IAX2 channel driver
http://downloads.asterisk.org/
Remote Crash Vulnerability in SIP channel driver
http://downloads.asterisk.org/
Remote Crash Vulnerability in SIP channel driver
http://downloads.asterisk.org/