Fecha de publicación: Lun, 07/03/2022 - 11:46

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

Asterisk ha publicado 3 vulnerabilidades: 2 de severidad crítica y 1 media, por las que un atacante podría ejecutar código arbitrario, realizar una denegación de servicio o un acceso fuera de límites a la memoria.

Las vulnerabilidades se desarrollan de la siguiente manera:

La longitud de la cabecera en los mensajes STUN entrantes, que contienen un atributo ERROR-CODE, no se comprueba correctamente. Esto puede dar lugar a un desbordamiento de enteros. Se debe tomar en cuenta que esto requiere que el soporte de ICE o WebRTC esté en uso con una parte remota maliciosa. Se ha asignado el identificador CVE-2021-37706 para esta vulnerabilidad.

Cuando se actúa como UAC y se realiza una llamada saliente a un objetivo que luego se bifurca, Asterisk puede experimentar un comportamiento indefinido (fallos, cuelgues, etc) después de que se libere prematuramente un conjunto de diálogos. Se ha asignado el identificador CVE-2022-23608 para esta vulnerabilidad.

PJSIP es una fuente libre y abierto de comunicación multimedia de la biblioteca escrita en lenguaje C de la norma de ejecución basada en protocolos como SIP, SDP, RTP, STUN, TURN e ICE. En las versiones 2.11.1 y con anterioridad, el análisis de un SIP entrante contiene un formato incorrecto en varias partes, puede causar potencialmente una lectura obligada. Este problema afecta a todos los PJSIP los usuarios que aceptan SIP de varias partes, Para esta vulnerabilidad de severidad media se ha asignado el identificador CVE-2022-21723.

Recursos afectados

  • Asterisk Open Source 16.x
  • Asterisk Open Source 18.x
  • Asterisk Open Source 19.x
  • Certified Asterisk 16.x

Solución

Si se utiliza "with-pjproject-bundled" actualizar o instalar una versión de Asterisk de las que se indican a continuación:

  • Asterisk Open Source 16.24.1
  • Asterisk Open Source 18.10.1
  • Asterisk Open Source 19.2.1
  • Certified Asterisk 16.8-cert13

De lo contrario, instalar la versión apropiada de pjproject que contiene el parche.

Recomendaciones

Actualizar a la última versión del parche de seguridad.

Referencias

Múltiples vulnerabilidades en productos de Asterisk