- Otras noticias
El 62% empleados tiene conocimientos limitados sobre seguridad
Los atacantes firman applets con certificados robados 
Nueva versión de Apache HTTP Server 
URLs abreviadas y temas actuales, nuevas tendencias del cibercrimen
Panda Security alerta de un nuevo virus navideno a través de facebook
¿Cuáles serán las amenazas informáticas del 2007?
Aparece un exploit para Firefox e Internet Explorer en Windows Vista.jpg)
Vulnerabilidades en sistemas Windows
Denegación de servicio en IBM AIX
Microsoft publica un boletín de seguridad para ASP.NET fuera de ciclo
- En el foro
-
Solucionadas tres vulnerabilidades en Asterisk
27 Abr 2012 | HISPASEC.COM
Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El primero de los fallos solucionados (CVE-2012-2414), identificado por Digium como AST-2012-004 afecta a todas las versiones de Asterisk. Un usuario remoto autenticado de la interfaz de administración "Asterisk Manager" podrá evitar comprobaciones de seguridad y lograr ejecutar comandos "shell".
La segunda de las vulnerabilidades (con CVE-2012-2415) reside en un desbordamiento de búfer basado en heap, al tratar datos KEYPAD_BUTTON_MESSAGE específicamente creados. Un atacante remoto autenticado podría aprovechar este problema para ejecutar código arbitrario en los sistemas afectados. Digium ha identificado este fallo, que afecta a las versiones 1.6.2.x, 1.8.x y 10.x, como AST-2012-005
Por último, identificado como AST-2012-006 (y CVE-2012-2416), se ha anunciado un problema que reside en el tratamiento de peticiones SIP UPDATE específicamente creadas. Este fallo afecta a las versiones 1.8.x y 10.x, así como a Asterisk Business Edition C.3.x y podría permitir a un atacante remoto autenticado provocar condiciones de denegación de servicio.
Para corregir estos problemas Digium ha publicado las versiones Asterisk Open Source 1.6.2.24, 1.8.11.1 y 10.3.1, así como Asterisk Business Edition C.3.7.4.
Más información:
Asterisk Project Security Advisory - AST-2012-004 Asterisk Manager User Unauthorized Shell Access http://downloads.asterisk.org/pub/security/AST-2012-004.html
Asterisk Project Security Advisory - AST-2012-005 Heap Buffer Overflow in Skinny Channel Driver http://downloads.asterisk.org/pub/security/AST-2012-005.html
Asterisk Project Security Advisory - AST-2012-006 Remote Crash Vulnerability in SIP Channel Driver http://downloads.asterisk.org/pub/security/AST-2012-006.html
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
