[AsteriskBrasil] Vulnerabilidade de DoS

Gustavo Cordeiro gustavo em advent.com.br
Segunda Agosto 10 17:33:30 BRT 2009


Olá,

  Esta falha não afeta a série 1.2 e nem a 1.6

  Asterisk Open Source
  1.2.x
  Unaffected

  Asterisk Open Source
  1.4.x
  Unaffected

  Asterisk Open Source
  1.6.x
  All 1.6.1 versions


Sds,
Gustavo Cordeiro
Advent Tecnologia Ltda.
Telefone: 48 3024-9350
Celular: 48 8809-0764

www.advent.com.br

2009/8/10 Guilherme Matos <guilherme em velus.com.br>:
> Prezados,
> Alguém já passou pela experiência abaixo????
>
> ################################################################
> #   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
> #       Rede Nacional de Ensino e Pesquisa (RNP)               #
> #                                                              #
> # cais em cais.rnp.br       http://www.cais.rnp.br                #
> # Tel. 019-37873300      Fax. 019-37873301                     #
> # Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
> ################################################################
> O CAIS está repassando o alerta da Secunia, intitulado "SA36039: Asterisk
> RTP Text Frames Denial of Service Vulnerability", que trata de uma
> vulnerabilidade no Asterisk.
> Asterisk é um software da Digium que implementa PABX, usado em centrais
> telefônicas. Trata-se de uma das soluções mais populares de Voz sobre IP
> (Voice over IP - VoIP).
> A vulnerabilidade está na maneira como as versões vulneráveis de Asterisk
> tratam quadros do tipo "text" do protocolo RTP (Real-time Transport
> Protocol). Se explorada com sucesso por um atacante esta vulnerabilidade
> pode criar uma condição de negação de serviço (DoS - Denial of Service), o
> que interromperia os serviços do Asterisk.
> Esta vulnerabilidade não permite que um atacante execute código arbitrário
> remotamente.
> SISTEMAS AFETADOS
> . Asterisk Open Source 1.6.x
>   versões anteriores ao release 1.6.1.2 (todas as versões 1.6.1)
> CORREÇÕES DISPONÍVEIS
> Recomenda-se a atualização para a versões disponíveis em:
> . Asterisk Downloads
>   http://www.asterisk.org/downloads
> MAIS INFORMAÇÕES
> . SA36039: Asterisk RTP Text Frames Denial of Service Vulnerability
>   http://secunia.com/advisories/36039/
> . AST-2009-004: Remote Crash Vulnerability in RTP stack
>   http://downloads.asterisk.org/pub/security/AST-2009-004.html
> Identificador CVE (http://cve.mitre.org):
> CVE-2009-2651
> O CAIS recomenda que os administradores mantenham seus sistemas e
> aplicativos sempre atualizados, de acordo com as últimas versões e
> correções oferecidas pelos fabricantes.
> Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
> http://www.rnp.br/cais/alertas/rss.xml
> Atenciosamente,
> ################################################################
> #   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
> #       Rede Nacional de Ensino e Pesquisa (RNP)               #
> #                                                              #
> # cais em cais.rnp.br       http://www.cais.rnp.br                #
> # Tel. 019-37873300      Fax. 019-37873301                     #
> # Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
> ################################################################
>
>
> _______________________________________________
> Participe do IV Encontro VoIPCenter, 16 a 18 de setembro - São Paulo.
> VoIP, Asterisk e Convergência de Redes.
> http://www.encontrovoipcenter.com.br
>
> Compre uma camiseta da AsteriskBrasil.org!
> http://www.voipmania.com.br
>
> Acesse o canal IRC de discussão sobre Asterisk em Português Brasileiro na
> rede Freenode.net: #asterisk-br
> _______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>


Mais detalhes sobre a lista de discussão AsteriskBrasil