Asterisk: Nueva falla de seguridad - AST-2017-008

Antes de ayer, los desarrolladores de Asterisk han emitido un nuevo boletín de seguridad donde relatan el nuevo problema que afecta todas las versiones de Asterisk a partir de la 11.

La nueva falla de seguridad está relacionada con el protocolo RTCP. En el caso de una insuficiente validación de los paquetes RTCP combinado con la configuración del NAT, se puede lograr redirigir el flujo RTCP enviado por Asterisk.

La solución ha sido corregir la pila RTP/RTCP que ahora validará los paquetes antes de procesarlos. Los paquetes que no superarán el proceso de validación serán descartados. Para que un nuevo flujo sea aceptado, los paquetes tendrá que proceder siempre desde la misma dirección; si estarán presentes distintas direcciones, el flujo será descartado.

Las versiones afectadas:

  • Asterisk Open Source                  11.x    Todas las versiones
  • Asterisk Open Source                  13.x    Todas las versiones
  • Asterisk Open Source                  14.x    Todas las versiones
  • Certified Asterisk                   11.6    Todas las versiones
  • Certified Asterisk                   13.13   Todas las versiones

La nuevas versiones liberadas:

  • 11.25.3
  • 13.17.2
  • 14.6.2
  • 11.6-cert18
  • 13.13-cert6

Actualizando…