Múltiples vulnerabilidades en Asterisk

Fecha de publicación 22/02/2018
Importancia
4 - Alta
Recursos Afectados
  • Asterisk Open Source 13.x, 14.x y 15.x
  • Certified Asterisk 13.18
Descripción

Se han publicado 6 vulnerabilidades, 2 de ellas de severidad alta, que podrían permitir a un atacante, ocasionar una denegación de servicio o un cierre inesperado en los productos afectados.

Solución

Actualizar las versiones afectadas a:

  • Asterisk Open Source 13.19.2, 14.7.6 o 15.2.2
  • Certified Asterisk 13.18-cert3
Detalle

A continuación se detallan las dos vulnerabilidades de severidad alta:

  • Debido a un error en el código, es posible el procesamiento de más de 32 cabeceras Accept ocasionando una escritura fuera de la memoria asignada ocasionando un cierre inesperado. Se ha reservado el identificador CVE-2018-7284 para esta vulnerabilidad.
  • Debido a un error en el código, es posible que la carga útil transporte un tipo de flujo de datos no negociado con anterioridad, pudiendo resultar en un cierre inesperado. Se ha reservado el identificador CVE-2018-7285 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Asterisk Project Security Advisory - AST-2018-004
Asterisk Project Security Advisory - AST-2018-001
Asterisk Project Security Advisory - AST-2018-006
Asterisk Project Security Advisory - AST-2018-005
Asterisk Project Security Advisory - AST-2018-003
Asterisk Project Security Advisory - AST-2018-002
Etiquetas