[AsteriskBrasil] Vulnerabilidade de DoS
Gustavo Cordeiro
gustavo em advent.com.br
Segunda Agosto 10 17:33:30 BRT 2009
Olá,
Esta falha não afeta a série 1.2 e nem a 1.6
Asterisk Open Source
1.2.x
Unaffected
Asterisk Open Source
1.4.x
Unaffected
Asterisk Open Source
1.6.x
All 1.6.1 versions
Sds,
Gustavo Cordeiro
Advent Tecnologia Ltda.
Telefone: 48 3024-9350
Celular: 48 8809-0764
www.advent.com.br
2009/8/10 Guilherme Matos <guilherme em velus.com.br>:
> Prezados,
> Alguém já passou pela experiência abaixo????
>
> ################################################################
> # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
> # Rede Nacional de Ensino e Pesquisa (RNP) #
> # #
> # cais em cais.rnp.br http://www.cais.rnp.br #
> # Tel. 019-37873300 Fax. 019-37873301 #
> # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
> ################################################################
> O CAIS está repassando o alerta da Secunia, intitulado "SA36039: Asterisk
> RTP Text Frames Denial of Service Vulnerability", que trata de uma
> vulnerabilidade no Asterisk.
> Asterisk é um software da Digium que implementa PABX, usado em centrais
> telefônicas. Trata-se de uma das soluções mais populares de Voz sobre IP
> (Voice over IP - VoIP).
> A vulnerabilidade está na maneira como as versões vulneráveis de Asterisk
> tratam quadros do tipo "text" do protocolo RTP (Real-time Transport
> Protocol). Se explorada com sucesso por um atacante esta vulnerabilidade
> pode criar uma condição de negação de serviço (DoS - Denial of Service), o
> que interromperia os serviços do Asterisk.
> Esta vulnerabilidade não permite que um atacante execute código arbitrário
> remotamente.
> SISTEMAS AFETADOS
> . Asterisk Open Source 1.6.x
> versões anteriores ao release 1.6.1.2 (todas as versões 1.6.1)
> CORREÇÕES DISPONÍVEIS
> Recomenda-se a atualização para a versões disponíveis em:
> . Asterisk Downloads
> http://www.asterisk.org/downloads
> MAIS INFORMAÇÕES
> . SA36039: Asterisk RTP Text Frames Denial of Service Vulnerability
> http://secunia.com/advisories/36039/
> . AST-2009-004: Remote Crash Vulnerability in RTP stack
> http://downloads.asterisk.org/pub/security/AST-2009-004.html
> Identificador CVE (http://cve.mitre.org):
> CVE-2009-2651
> O CAIS recomenda que os administradores mantenham seus sistemas e
> aplicativos sempre atualizados, de acordo com as últimas versões e
> correções oferecidas pelos fabricantes.
> Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
> http://www.rnp.br/cais/alertas/rss.xml
> Atenciosamente,
> ################################################################
> # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
> # Rede Nacional de Ensino e Pesquisa (RNP) #
> # #
> # cais em cais.rnp.br http://www.cais.rnp.br #
> # Tel. 019-37873300 Fax. 019-37873301 #
> # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
> ################################################################
>
>
> _______________________________________________
> Participe do IV Encontro VoIPCenter, 16 a 18 de setembro - São Paulo.
> VoIP, Asterisk e Convergência de Redes.
> http://www.encontrovoipcenter.com.br
>
> Compre uma camiseta da AsteriskBrasil.org!
> http://www.voipmania.com.br
>
> Acesse o canal IRC de discussão sobre Asterisk em Português Brasileiro na
> rede Freenode.net: #asterisk-br
> _______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>
Mais detalhes sobre a lista de discussão AsteriskBrasil