Miembros de
Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en "Asterisk" |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Denegación de Servicio |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | Asterisk |
Descripción |
|
|
Se han encontrado múltiples vulnerabilidades en asterisk. Las vulnerabilidades son descritas a continuación: - CVE-2011-1147: Se ha descubierto una vulnerabilidad en "Asterisk Open Source". La vulnerabilidad reside en un error de desbordamiento del búfer en las funciones "decode_open_type" y "udptl_px_packet". Un atacante remoto podría ejecutar código arbitrario o causar una denegación de servicio mediante un archivo UDPTL especialmente modificado. - CVE-2011-1174: Se ha descubierto una vulnerabilidad en "Asterisk Open Source". La vulnerabilidad reside en un error en la función "manager.c". Un atacante remoto podría causar una denegación de servicio mediante una serie de sesiones de administrador con datos no válidos. - CVE-2011-1175: Se ha descubierto una vulnerabilidad en el servidor TCP/TLS en Asterisk Open Source. La vulnerabilidad reside en un error en la función "tcptls.c". Un atacante remoto podría causar una denegación de servicio mediante breves sesiones TCP a los servicios que usan cierta API de TLS. - CVE-2011-1507: Se ha descubierto una vulnerabilidad en "Asterisk Open Source". La vulnerabilidad reside en un error en la insuficiente limitación de peticiones a determinados servicios TCP. Un atacante remoto podría causar una denegación de servicio mediante métodos no especificados. - CVE-2011-1599: Se ha descubierto una vulnerabilidad en "Asterisk Open Source". La vulnerabilidad reside en la seguridad de "Asterisk Manager Interface". Un atacante remoto podría ejecutar código arbitrario mediante el envío de un encabezado "asíncrono" junto un encabezado "aplicación". |
|
Solución |
|
|
Actualización de software Debian (DSA-2225-1) Para la antigua distribución estable (lenny), este problema se ha solucionado en versión 1:1.4.21.2 ~ dfsg-3 + lenny2.1. Para la distribución estable (squeeze), este problema se ha solucionado en la versión 1:1.6.2.9-2 + squeeze2. Para la distribución inestable (sid), este problema se ha solucionado en la versión 1:1.8.3.3-1. http://www.debian.org/security/ |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2011-1147 CVE-2011-1174 CVE-2011-1175 CVE-2011-1507 CVE-2011-1599 |
| BID | |
Recursos adicionales |
|
|
Debian Security Advisory (DSA-2225-1) http://lists.debian.org/debian-security-announce/2011/msg00094.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2011-04-27 |