que podría permitir a un atacante evitar restricciones de seguridad.
Asterisk es una aplicación de una central telefónica (PBX) de código
abierto. Como cualquier PBX, se pueden conectar un número determinado
de teléfonos para hacer llamadas entre sí e incluso conectarlos a un
proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk
es ampliamente usado e incluye un gran número de interesantes
características: buzón de voz, conferencias, IVR, distribución
automática de llamadas, etc. Además el software creado por Digium está
disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft
Windows.
El problema se debe a que no se realiza una comprobación ACL cuando
se tramitan SIP INVITEs, un atacante podría emplear esto para que un
dispositivo realice llamadas en redes destinadas a ser prohibidas tal
y como se hayan defino en las líneas "deny" y "permit" de "sip.conf".
Se recomienda actualizar a Asterisk Open Source versión 1.6.1.8 :
ftp://ftp.digium.com/pub/
O aplicar el parche :
http://downloads.digium.com/
Fuente: Hispasec.com
No hay comentarios:
Publicar un comentario