Vulnerabilidad en Asterisk Open Source y Certified Asterisk (CVE-2016-9938)

Se descubrió un problema en Asterisk Open Source 11.x en versiones anteriores a 11.25.1, 13.x en versiones anteriores a 13.13.1 y 14.x en versiones anteriores a 14.2.1 y Certified Asterisk 11.x en versiones anteriores a 11.6-cert16 y 13.x en versiones anteriores a 13.8-cert4. El controlador de canal chan_sip tiene una definición liberal de espacios en blanco cuando intenta quitar al contenido entre un nombre de encabezado SIP y un carácter de dos puntos. En lugar de seguir la RFC 3261 y quitar sólo espacios y pestañas horizontales, Asterisk trata cualquier carácter ASCII no imprimible como si fuera un espacio en blanco. Esto significa que los encabezados tal como Contact\x01: se verán como un encabezado de Contact válido. Esto principalmente no plantea un problema hasta que Asterisk se coloca en tándem con un proxy SIP de autenticación. En este caso, una combinación hábil de encabezados válidos y no válidos puede provocar que un proxy permita una petición INVITE en Asterisk sin autenticación ya que cree que la solicitud es una petición de dialogo de entrada. Sin embargo, debido al error descrito anteriormente, la petición se verá como una solicitud fuera de diálogo para Asterisk. Asterisk procesara la solicitud como una nueva llamada. El resultado es que Asterisk pueda procesar llamadas desde fuentes de fuentes no examinadas sin autenticación. Si no utiliza un proxy para la autenticación, entonces este problema no le afecta. Si su proxy tiene conocimiento de diálogo (lo que siginifica que el proxy realiza un seguimiento de los cuadros de diálogos que son actualmente válidos), entonces este problema no le afecta. Si utiliza chan_pjsip en lugar de chan_sip, entonces este problema no le afecta.