Salto de restricciones en Asterisk 1.x y Business Edition 2.x
Posted Diciembre 26th, 2007 by Nestor
Via Hispasec encuentro la siguiente noticia que reproduzco a continuación.
Se ha encontrado una vulnerabilidad en Asterisk que podría ser explotada por un atacante remoto para saltarse ciertas restricciones de seguridad.
La vulnerabilidad se debe a una falta de comprobación de direcciones IP en el proceso de registro vía database (realtime). Esto podría ser explotado por un atacante remoto para autenticarse como usuario sin contraseña. Para que la vulnerabilidad pueda ser explotada, se requiere que el atacante tenga un nombre de usuario válido.
La vulnerabilidad está confirmada para las siguientes versiones:
* Asterisk Open Source 1.2.x anteriores a 1.2.26
* Asterisk Open Source 1.4.x anteriores a 1.4.16
* Asterisk Business Edition B.x.x anteriores a B.2.3.6
* Asterisk Business Edition C.x.x anteriores a C.1.0-beta8
Se recomienda actualizar a las siguientes versiones:
Asterisk Open Source 1.2.x: Versión 1.2.26.
Asterisk Open Source 1.4.x: Versión 1.4.16.
Asterisk Business Edition B.x.x: Versión B.2.3.6.
Asterisk Business Edition C.x.x: Versión C.1.0-beta8.
3 weeks 15 horas antes
3 weeks 20 horas antes
3 weeks 5 days antes
3 weeks 5 days antes
4 weeks 12 horas antes
4 weeks 17 horas antes
5 weeks 1 día antes
5 weeks 2 days antes
5 weeks 2 days antes
5 weeks 2 days antes