Solucionadas dos vulnerabilidades en Asterisk
---------------------------------------------
Se han corregido dos vulnerabilidades en Asterisk, que podrían permitir a
atacantes remotos provocar denegaciones de servicio o ejecutar código
arbitrario.
Asterisk es una implementación de una central telefónica (PBX) de código
abierto. Como cualquier PBX, se pueden conectar un número determinado de
teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor
de VoIP para realizar comunicaciones con el exterior. Asterisk es
ampliamente usado e incluye un gran número de interesantes
características: buzón de voz, conferencias, IVR, distribución automática de
llamadas, etc. Además el software creado por Digium está disponible para
plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El primero de los fallos afecta a las versiones 1.4.x, 1.6.2.x, 1.8.x y
10.x. El problema, de denegación de servicio, solo es explotable bajo
ciertas circunstancias si el servidor utiliza la aplicación Milliwatt.
La segunda vulnerabilidad, que afecta a las versiones 1.8.x y 10.x, reside
en un desbordamiento de buffer basado en pila en la interfaz HTTP Manager al
recibir datos HTTP Digest Authentication específicamente manipulados. Un
atacante remoto puede aprovechar esta vulnerabilidad para ejecutar código
arbitrario.
Para corregir estos problemas Digium ha publicado las versiones 1.4.44,
1.6.2.23, 1.8.10.1 y 10.2.1.
---------------------------------------------
Se han corregido dos vulnerabilidades en Asterisk, que podrían permitir a
atacantes remotos provocar denegaciones de servicio o ejecutar código
arbitrario.
Asterisk es una implementación de una central telefónica (PBX) de código
abierto. Como cualquier PBX, se pueden conectar un número determinado de
teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor
de VoIP para realizar comunicaciones con el exterior. Asterisk es
ampliamente usado e incluye un gran número de interesantes
características: buzón de voz, conferencias, IVR, distribución automática de
llamadas, etc. Además el software creado por Digium está disponible para
plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El primero de los fallos afecta a las versiones 1.4.x, 1.6.2.x, 1.8.x y
10.x. El problema, de denegación de servicio, solo es explotable bajo
ciertas circunstancias si el servidor utiliza la aplicación Milliwatt.
La segunda vulnerabilidad, que afecta a las versiones 1.8.x y 10.x, reside
en un desbordamiento de buffer basado en pila en la interfaz HTTP Manager al
recibir datos HTTP Digest Authentication específicamente manipulados. Un
atacante remoto puede aprovechar esta vulnerabilidad para ejecutar código
arbitrario.
Para corregir estos problemas Digium ha publicado las versiones 1.4.44,
1.6.2.23, 1.8.10.1 y 10.2.1.
No hay comentarios:
Publicar un comentario
muchas gracias por los comentarios