[INFOSEG] CAIS-Alerta: Vulnerabilidade de DoS no Asterisk (SA36039)

Leandro M Bertholdo berthold at pop-rs.rnp.br
Mon Aug 10 16:30:38 BRT 2009 

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS está repassando o alerta da Secunia, intitulado "SA36039: Asterisk
RTP Text Frames Denial of Service Vulnerability", que trata de uma
vulnerabilidade no Asterisk.

Asterisk é um software da Digium que implementa PABX, usado em centrais
telefônicas. Trata-se de uma das soluções mais populares de Voz sobre IP
(Voice over IP - VoIP).

A vulnerabilidade está na maneira como as versões vulneráveis de Asterisk
tratam quadros do tipo "text" do protocolo RTP (Real-time Transport
Protocol). Se explorada com sucesso por um atacante esta vulnerabilidade
pode criar uma condição de negação de serviço (DoS - Denial of Service), o
que interromperia os serviços do Asterisk.

Esta vulnerabilidade não permite que um atacante execute código arbitrário
remotamente.


SISTEMAS AFETADOS

. Asterisk Open Source 1.6.x
  versões anteriores ao release 1.6.1.2 (todas as versões 1.6.1)


CORREÇÕES DISPONÍVEIS

Recomenda-se a atualização para a versões disponíveis em:

. Asterisk Downloads
  http://www.asterisk.org/downloads


MAIS INFORMAÇÕES

. SA36039: Asterisk RTP Text Frames Denial of Service Vulnerability
  http://secunia.com/advisories/36039/

. AST-2009-004: Remote Crash Vulnerability in RTP stack
  http://downloads.asterisk.org/pub/security/AST-2009-004.html


Identificador CVE (http://cve.mitre.org):
CVE-2009-2651


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as últimas versões e 
correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF:

http://www.rnp.br/cais/alertas/rss.xml

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais at cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSoBlHekli63F4U8VAQEx6AP/f3wJJJleR2O2Pq7NKw7K6+9UTGERZjiF
m4gp4f1992j5didmM5Crwx4sBjbyqz/9zOMhFZs57vGlwsW1VzvNvzgzv5ghNRJd
C/jnm+3v1aAF2n6oh78xov86lxhLEEwmP+xPeUFnLu5izQxBPgz4pk5sEX5/aZSN
zHLClOIm/T4=
=W2dT
-----END PGP SIGNATURE-----

More information about the infoseg mailing list