Nuevas versiones de Asterisk ha sido publicadas para solucionar dos
fallos de denegación de servicio.
Asterisk es una implementación de código abierto de una central
telefónica (PBX). Como cualquier PBX, permite interconectar teléfonos
para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP o
a la línea telefónica tradicional. Asterisk incluye características como
buzón de voz, conferencias, IVR, distribución automática de llamadas,
etc. Funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft
Windows.
El primer fallo se produce cuando el interfaz de administración está
activa. Un error en la función ‘send_string’ de ‘manager.c’ permitiría
a un atacante remoto causar una denegación de servicio abriendo
conexiones, por un consumo excesivo de CPU.
El segundo error solucionado se produce al abrir y cerrar conexiones TCP
con ciertas API. No se valida correctamente el valor de un puntero,
pudiendo causar una referencia a NULL y por tanto, una denegación de
servicio.
Recomendamos actualizar desde http://www.asterisk.org/
versiones 1.6.1.23, 1.6.2.17.1 o 1.8.3.1 que solucionan estos problemas.
Asterisk Blog:
http://www.asterisk.org/node/
Via: Hispasec
