Vulnerabilidad en el envío de respuestas SIP en el archivo res_pjsip_session.c en la negociación SDP en PJSIP en Digium Asterisk (CVE-2021-26906)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-404
Apagado o liberación incorrecto de recursos
Fecha de publicación:
18/02/2021
Última modificación:
24/02/2021
Descripción
Se detectó un problema en el archivo res_pjsip_session.c en Digium Asterisk versiones hasta 13.38.1; 14.x, 15.x y 16.xa 16.16.0; 17.xa 17.9.1; y 18.xa 18.2.0, y Certified Asterisk versiones hasta 16.8-cert5. Una vulnerabilidad de negociación SDP en PJSIP permite a un servidor remoto bloquear potencialmente Asterisk mediante el envío de respuestas SIP específicas que causan un fallo en la negociación SDP
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:digium:asterisk:*:*:*:*:*:*:*:* | 13.0.0 (incluyendo) | 13.38.2 (excluyendo) |
cpe:2.3:a:digium:asterisk:*:*:*:*:*:*:*:* | 16.0.0 (incluyendo) | 16.16.1 (excluyendo) |
cpe:2.3:a:digium:asterisk:*:*:*:*:*:*:*:* | 17.0.0 (incluyendo) | 17.9.2 (excluyendo) |
cpe:2.3:a:digium:asterisk:*:*:*:*:*:*:*:* | 18.0 (incluyendo) | 18.2.1 (excluyendo) |
cpe:2.3:a:digium:certified_asterisk:16.8:-:*:*:*:*:*:* | ||
cpe:2.3:a:digium:certified_asterisk:16.8:cert1-rc1:*:*:*:*:*:* | ||
cpe:2.3:a:digium:certified_asterisk:16.8:cert1-rc2:*:*:*:*:*:* | ||
cpe:2.3:a:digium:certified_asterisk:16.8:cert1-rc3:*:*:*:*:*:* | ||
cpe:2.3:a:digium:certified_asterisk:16.8:cert1-rc4:*:*:*:*:*:* | ||
cpe:2.3:a:digium:certified_asterisk:16.8:cert2:*:*:*:*:*:* | ||
cpe:2.3:a:digium:certified_asterisk:16.8:cert3:*:*:*:*:*:* | ||
cpe:2.3:a:digium:certified_asterisk:16.8:cert4:*:*:*:*:*:* | ||
cpe:2.3:a:digium:certified_asterisk:16.8:cert4-rc1:*:*:*:*:*:* | ||
cpe:2.3:a:digium:certified_asterisk:16.8:cert4-rc2:*:*:*:*:*:* | ||
cpe:2.3:a:digium:certified_asterisk:16.8:cert4-rc3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/161477/Asterisk-Project-Security-Advisory-AST-2021-005.html
- http://seclists.org/fulldisclosure/2021/Feb/61
- https://downloads.asterisk.org/pub/security/
- https://downloads.asterisk.org/pub/security/AST-2021-005.html
- https://issues.asterisk.org/jira/browse/ASTERISK-29196