Fecha de publicaciĂłn: 07/03/2022
Importancia:
CrĂtica
Recursos afectados:
- Asterisk Open Source:
- versiones 16.x;
- versiones 18.x;
- versiones 19.x.
- Certified Asterisk: versiones 16.x.
DescripciĂłn:
Asterisk ha publicado 3 vulnerabilidades: 2 de severidad crĂtica y 1 media, por las que un atacante podrĂa ejecutar cĂłdigo arbitrario o realizar una denegaciĂłn de servicio o un acceso a la memoria fuera de lĂmites.
SoluciĂłn:
Si se utiliza “with-pjproject-bundled“, actualizar o instalar una versiĂłn de Asterisk de las que se indican a continuaciĂłn:
- Asterisk Open Source:
- 16.24.1;
- 18.10.1;
- 19.2.1.
- Certified Asterisk:
- 16.8-cert13.
De lo contrario, instalar la versiĂłn apropiada de pjproject que contiene el parche.
Detalle:
- La longitud de la cabecera en los mensajes STUN entrantes, que contienen un atributo ERROR-CODE, no se comprueba correctamente. Esto puede dar lugar a un desbordamiento de enteros. Ten en cuenta que esto requiere que el soporte de ICE o WebRTC esté en uso con una parte remota maliciosa. Se ha asignado el identificador CVE-2021-37706 para esta vulnerabilidad.
- Cuando se actĂșa como UAC y se realiza una llamada saliente a un objetivo que luego se bifurca, Asterisk puede experimentar un comportamiento indefinido (fallos, cuelgues, etc.) despuĂ©s de que se libere prematuramente un conjunto de diĂĄlogos. Se ha asignado el identificador CVE-2022-23608 para esta vulnerabilidad.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2022-21723.
Etiquetas:
ActualizaciĂłn, Comunicaciones, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.