[SECURITY-L] CAIS-Alerta: Vulnerabilidade de DoS no Asterisk (SA36039)

CSIRT - UNICAMP security em unicamp.br
Seg Ago 10 16:35:24 -03 2009 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Vulnerabilidade de DoS no Asterisk (SA36039)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Mon, 10 Aug 2009 15:20:56 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS está repassando o alerta da Secunia, intitulado "SA36039: Asterisk 
RTP Text Frames Denial of Service Vulnerability", que trata de uma 
vulnerabilidade no Asterisk.

Asterisk é um software da Digium que implementa PABX, usado em centrais 
telefônicas. Trata-se de uma das soluções mais populares de Voz sobre IP 
(Voice over IP - VoIP).

A vulnerabilidade está na maneira como as versões vulneráveis de Asterisk 
tratam quadros do tipo "text" do protocolo RTP (Real-time Transport 
Protocol). Se explorada com sucesso por um atacante esta vulnerabilidade 
pode criar uma condição de negação de serviço (DoS - Denial of Service), o 
que interromperia os serviços do Asterisk.

Esta vulnerabilidade não permite que um atacante execute código arbitrário 
remotamente.


SISTEMAS AFETADOS

. Asterisk Open Source 1.6.x
  versões anteriores ao release 1.6.1.2 (todas as versões 1.6.1)


CORREÇÕES DISPONÍVEIS

Recomenda-se a atualização para a versões disponíveis em:

. Asterisk Downloads
  http://www.asterisk.org/downloads


MAIS INFORMAÇÕES

. SA36039: Asterisk RTP Text Frames Denial of Service Vulnerability
  http://secunia.com/advisories/36039/

. AST-2009-004: Remote Crash Vulnerability in RTP stack
  http://downloads.asterisk.org/pub/security/AST-2009-004.html


Identificador CVE (http://cve.mitre.org):
CVE-2009-2651


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as últimas versões e 
correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF:

http://www.rnp.br/cais/alertas/rss.xml

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSoBlHekli63F4U8VAQEx6AP/f3wJJJleR2O2Pq7NKw7K6+9UTGERZjiF
m4gp4f1992j5didmM5Crwx4sBjbyqz/9zOMhFZs57vGlwsW1VzvNvzgzv5ghNRJd
C/jnm+3v1aAF2n6oh78xov86lxhLEEwmP+xPeUFnLu5izQxBPgz4pk5sEX5/aZSN
zHLClOIm/T4=
=W2dT
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L