Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades en productos Asterisk

Fecha de publicación 12/06/2018
Importancia
5 - Crítica
Recursos Afectados
  • Asterisk Open Source:
    • 13.x desde la versión 13.10.0 y anteriores.
    • 14.x todas las versiones.
    • 15.x todas las versiones.
  • Certified Asterisk 13.18 y 13.21 todas las versiones.
Descripción

Asterisk ha publicado dos boletines de seguridad, uno de ellos de severidad crítica y otro baja, que podrían permitir a un atacante causar una denegación de servicio o acceder a información confidencial.

Solución

Asterisk recomienda actualizar los productos afectados:

  • Asterisk Open Source actualizar a las versiones 15.4.1, 13.21.1 y 14.7.7.
  • Certified Asterisk actualizar a las versiones 13.18-cert4 y 13.21-cert2.
Detalle

Cuando se hace una conexión a Asterisk vía TCP/TLS y el cliente se desconecta de forma repentina o envía un mensaje especialmente diseñado, puede provocar que el servicio entre en bucle infinito pudiendo causar una denegación de servicio.

Encuesta valoración

Listado de referencias
Asterisk Project Security Advisory - AST-2018-007
Asterisk Project Security Advisory - AST-2018-008
Etiquetas