Os desenvolvedores do Asterisk corrigiram dois problemas de
segurança, relacionados a uma vulnerabilidade Denial-of-Service (DoS) em
seu
sistema
open source PBX. Os bugs nas áreas de correio de voz da aplicação,
foram abordados pelo lançamento das seguintes versões do Asterisk:
1.8.11-cert4 e 1.8.13.1, 10.5.2, 10.5.2-digiumphones. Em uma determinada
situação, os atacantes são capazes de "amarrar" o servidor Asterisk
usando todos as portas disponíveis RTP (Real-time Transport Protocol), o
que leva a uma situação de negação de serviço.
Versões de Atualização Foram Liberadas para Correção de Falhas no Asterisk
Na versão vulnerável do
software, se o Asterisk envia uma
nova
solicitação para uma chamada sobre o protocolo SIP e um terminal
responde com uma resposta provisória, (mas nunca envia a resposta
final), as portas da RTP para a chamada não serão divulgadas. Se isso
for repetido muitas vezes, o
servidor vai funcionar fora dos portos da RTP e não poderá, em seguida, receber chamadas.
Via
Under-linux
Nenhum comentário:
Postar um comentário