Denegaciones de servicio en Asterisk

Asterisk ha publicado dos boletines de seguridad que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar condiciones de denegación de servicio.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primer problema (AST-2016-006) reside en una denegación de servicio remota al tratar un ACK desde un punto final con nombre de usuario no reconocido. Este problema solo afecta a Asterisk Open Source 13.10 en usuarios que utilicen la pila PJSIP con Asterisk.

Por otra parte, en el boletín AST-2016-007, se trata un problema por la asignación de recursos RTP antes de que se liberen los antiguos. Lo que podría permitir a un atacante remoto el consumo de todos los recursos y puertos impidiendo establecer sesiones. Afecta a todas las versiones de Asterisk Open Source 11.x y 13.x y Certified Asterisk 11.6 y 13.8.

Se han publicado las versiones Asterisk Open Source 11.23.1 y 13.11.1 y Certified Asterisk 11.6-cert15 y 13.8-cert3 que solucionan estos problemas.

Más información:

Asterisk Project Security Advisory - AST-2016-006

Crash on ACK from unknown endpoint

http://downloads.asterisk.org/pub/security/AST-2016-006.html

Asterisk Project Security Advisory - AST-2016-007

RTP Resource Exhaustion

http://downloads.asterisk.org/pub/security/AST-2016-007.html