[AsteriskBrasil] Vulnerabilidade de DoS
Gustavo Cordeiro
gustavo em advent.com.br
Segunda Agosto 10 17:37:13 BRT 2009
Olá,
Desculpem-me, como consta no próprio texto e no aviso da Digium, as
séries 1.2 e 1.4 não são afetadas. Somente a 1.6.1.
Estava editando o texto e enviei sem querer a mensagem anterior.
Peço perdão pelo equívoco. :)
Sds,
Gustavo Cordeiro
Advent Tecnologia Ltda.
Telefone: 48 3024-9350
Celular: 48 8809-0764
www.advent.com.br
2009/8/10 Gustavo Cordeiro <gustavo em advent.com.br>:
> Olá,
>
> Esta falha não afeta a série 1.2 e nem a 1.6
>
> Asterisk Open Source
> 1.2.x
> Unaffected
>
> Asterisk Open Source
> 1.4.x
> Unaffected
>
> Asterisk Open Source
> 1.6.x
> All 1.6.1 versions
>
>
> Sds,
> Gustavo Cordeiro
> Advent Tecnologia Ltda.
> Telefone: 48 3024-9350
> Celular: 48 8809-0764
>
> www.advent.com.br
>
> 2009/8/10 Guilherme Matos <guilherme em velus.com.br>:
>> Prezados,
>> Alguém já passou pela experiência abaixo????
>>
>> ################################################################
>> # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
>> # Rede Nacional de Ensino e Pesquisa (RNP) #
>> # #
>> # cais em cais.rnp.br http://www.cais.rnp.br #
>> # Tel. 019-37873300 Fax. 019-37873301 #
>> # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
>> ################################################################
>> O CAIS está repassando o alerta da Secunia, intitulado "SA36039: Asterisk
>> RTP Text Frames Denial of Service Vulnerability", que trata de uma
>> vulnerabilidade no Asterisk.
>> Asterisk é um software da Digium que implementa PABX, usado em centrais
>> telefônicas. Trata-se de uma das soluções mais populares de Voz sobre IP
>> (Voice over IP - VoIP).
>> A vulnerabilidade está na maneira como as versões vulneráveis de Asterisk
>> tratam quadros do tipo "text" do protocolo RTP (Real-time Transport
>> Protocol). Se explorada com sucesso por um atacante esta vulnerabilidade
>> pode criar uma condição de negação de serviço (DoS - Denial of Service), o
>> que interromperia os serviços do Asterisk.
>> Esta vulnerabilidade não permite que um atacante execute código arbitrário
>> remotamente.
>> SISTEMAS AFETADOS
>> . Asterisk Open Source 1.6.x
>> versões anteriores ao release 1.6.1.2 (todas as versões 1.6.1)
>> CORREÇÕES DISPONÍVEIS
>> Recomenda-se a atualização para a versões disponíveis em:
>> . Asterisk Downloads
>> http://www.asterisk.org/downloads
>> MAIS INFORMAÇÕES
>> . SA36039: Asterisk RTP Text Frames Denial of Service Vulnerability
>> http://secunia.com/advisories/36039/
>> . AST-2009-004: Remote Crash Vulnerability in RTP stack
>> http://downloads.asterisk.org/pub/security/AST-2009-004.html
>> Identificador CVE (http://cve.mitre.org):
>> CVE-2009-2651
>> O CAIS recomenda que os administradores mantenham seus sistemas e
>> aplicativos sempre atualizados, de acordo com as últimas versões e
>> correções oferecidas pelos fabricantes.
>> Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
>> http://www.rnp.br/cais/alertas/rss.xml
>> Atenciosamente,
>> ################################################################
>> # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
>> # Rede Nacional de Ensino e Pesquisa (RNP) #
>> # #
>> # cais em cais.rnp.br http://www.cais.rnp.br #
>> # Tel. 019-37873300 Fax. 019-37873301 #
>> # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
>> ################################################################
>>
>>
>> _______________________________________________
>> Participe do IV Encontro VoIPCenter, 16 a 18 de setembro - São Paulo.
>> VoIP, Asterisk e Convergência de Redes.
>> http://www.encontrovoipcenter.com.br
>>
>> Compre uma camiseta da AsteriskBrasil.org!
>> http://www.voipmania.com.br
>>
>> Acesse o canal IRC de discussão sobre Asterisk em Português Brasileiro na
>> rede Freenode.net: #asterisk-br
>> _______________________________________________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>
Mais detalhes sobre a lista de discussão AsteriskBrasil