jun 7 2008

Negação de serviço através de ast_uri_decode no Asterisk

  • Autor: admin em Vulnerabilidades
  • Sem Comentários. Seja o primeiro a comentar.

Foi descoberta uma falha no Asterisk que podería permitir a um usuário remoto efetuar uma negação de serviço. Asterisk é um programa de código aberto para centrais telefônicas (PBX). Como qualquer PBX, ele pode conectar um número determinado de telefones para fazer chamadas entre sí e conexão com um provedor VoIP. Asterisk possuí características importantes: voicemail, conferências, IVR, distribuição automática de chamadas, etc. Asterisk funciona em vários sistemas como Linux, FreeBSD, MacOSX, Solaris e Windows.

Quando se processam pacotes SIP no modo “pedantic”‘ passa o valor “From” dos cabeçalhos para a função ast_uri_decode sem ser validado. Isto podería ser aproveitado por um usuário malicioso remoto para efetuar una negação de serviço através de pacotes SIP especialmente manipulados. Isso acontece nos melhores programas, lembrando que sempre é bom fazer suas funções serem validadas para evitar qualquer tipo de fraude, mas num programa que possui milhares de funções fica difícil ;D

Todas as versões anteriores a 1.2.29 Open Source e a B.2.5.3 Business Edition estão vulneráveis a falha.
Para atualizar para a última versão, acesse:
http://www.asterisk.org/downloads

Mais informacões sobre esta falha:

Asterisk Project Security Advisory – AST-2008-008
http://downloads.digium.com/pub/security/AST-2008-008.html

0012607: SIP INVITE msg without “From” field crashes asterisk 1.2.28 if pedantic=yes
http://bugs.digium.com/view.php?id=12607



DEIXE UM COMENTÁRIO

Subscrever

Subscreve o Blog



Publicidade

Comentários Recentes

  • Carlos André: Bom dia, sou Carlos Técnico em Meio ambiente, estamos usando o cimento Cauê CPII E 32 em nossa obra...
  • Marcos Antônio dos Santos: Quero ganhar uma antena
  • maria luiza moreira dias: quero participar desse quadro porque meu carro precisa de uma reformação
  • Regina lucia: Estou gostando dessa oportunidade que este cartao esta oferecendo pra nos
  • shirley Balazs: Parabéns!! Informações de utilidade publica e de primeira, foi muito útil a mim.Obrigada!!

Links

Leitores Recentes

VALE O CLIQUE!

Site Seguro Ocioso

Divulgue o blog Infomaroto em seu site e tenha seu link ou banner aqui.
Blog Infomaroto