Se ha descubierto un fallo en Asterisk que podría permitir a un atacante remoto efectuar una denegación de servicio.
Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP. Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más. Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.
Cuando se procesan paquetes SIP en modo "pedantic"' se pasa el valor "From" de las cabeceras a la función ast_uri_decode sin que sea validado. Esto podría ser aprovechado por un atacante remoto para efectuar una denegación de servicio a través de paquetes SIP especialmente manipulados.
Se consideran vulnerables todas las versiones anteriores a la 1.2.29 Open Source y B.2.5.3 Business Edition.
Se recomienda actualizar a la última versión disponible en:
http://www.asterisk.org/downloads
Opina sobre esta noticia:http://www.hispasec.com/unaaldia/3512/comentarMás Información:Asterisk Project Security Advisory - AST-2008-008
http://downloads.digium.com/pub/security/AST-2008-008.html0012607: SIP INVITE msg without "From" field crashes asterisk 1.2.28 if pedantic=yes
http://bugs.digium.com/view.php?id=12607
