Vulnerability Bulletins |
Múltiples vulnerabilidades en "Asterisk" |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Denegación de Servicio |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | Asterisk |
Description |
|
|
Se han encontrado múltiples vulnerabilidades en asterisk. Las vulnerabilidades son descritas a continuación: - CVE-2011-1147: Se ha descubierto una vulnerabilidad en "Asterisk Open Source". La vulnerabilidad reside en un error de desbordamiento del búfer en las funciones "decode_open_type" y "udptl_px_packet". Un atacante remoto podría ejecutar código arbitrario o causar una denegación de servicio mediante un archivo UDPTL especialmente modificado. - CVE-2011-1174: Se ha descubierto una vulnerabilidad en "Asterisk Open Source". La vulnerabilidad reside en un error en la función "manager.c". Un atacante remoto podría causar una denegación de servicio mediante una serie de sesiones de administrador con datos no válidos. - CVE-2011-1175: Se ha descubierto una vulnerabilidad en el servidor TCP/TLS en Asterisk Open Source. La vulnerabilidad reside en un error en la función "tcptls.c". Un atacante remoto podría causar una denegación de servicio mediante breves sesiones TCP a los servicios que usan cierta API de TLS. - CVE-2011-1507: Se ha descubierto una vulnerabilidad en "Asterisk Open Source". La vulnerabilidad reside en un error en la insuficiente limitación de peticiones a determinados servicios TCP. Un atacante remoto podría causar una denegación de servicio mediante métodos no especificados. - CVE-2011-1599: Se ha descubierto una vulnerabilidad en "Asterisk Open Source". La vulnerabilidad reside en la seguridad de "Asterisk Manager Interface". Un atacante remoto podría ejecutar código arbitrario mediante el envío de un encabezado "asíncrono" junto un encabezado "aplicación". |
|
Solution |
|
|
Actualización de software Debian (DSA-2225-1) Para la antigua distribución estable (lenny), este problema se ha solucionado en versión 1:1.4.21.2 ~ dfsg-3 + lenny2.1. Para la distribución estable (squeeze), este problema se ha solucionado en la versión 1:1.6.2.9-2 + squeeze2. Para la distribución inestable (sid), este problema se ha solucionado en la versión 1:1.8.3.3-1. http://www.debian.org/security/ |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2011-1147 CVE-2011-1174 CVE-2011-1175 CVE-2011-1507 CVE-2011-1599 |
| BID | |
Other resources |
|
|
Debian Security Advisory (DSA-2225-1) http://lists.debian.org/debian-security-announce/2011/msg00094.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2011-04-27 |