int(6605)

Boletines de Vulnerabilidades

Denegación de servicio en Asterisk

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Denegación de Servicio
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado Comercial Software
Software afectado Digium Certified Asterisk 1.8.11 Cert9
Digium Certified Asterisk 1.8.11 Cert8
Digium Certified Asterisk 1.8.11 Cert7
Digium Certified Asterisk 1.8.11 Cert6
Digium Certified Asterisk 1.8.11 Cert5

Descripción
Una vulnerabilidad fue encontrada en Asterisk PBX 1.8/10/11 y clasificada como problemática. Una función desconocida del componente TCP Session Handler es afectada por esta vulnerabilidad. Mediante la manipulación como parte de SIP/HTTP/XMPP se causa una vulnerabilidad de clase denegación de servicio. Esto tiene repercusión sobre la la disponibilidad.

Solución
Una actualización a la versión 1.8.19.1/10.11.1/11.1.2 elimina esta vulnerabilidad. La actualización se puede descargar de http://downloads.asterisk.org/pub/security/AST-2012-014.html.

Identificadores estándar
Propiedad Valor
CVE CVE-2012-5976
CVE-2012-5977
BID

Recursos adicionales
Asterisk Project Security Advisory - AST-2012-014
http://downloads.asterisk.org/pub/security/AST-2012-014.html

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2013-01-07

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT