Os desenvolvedores do Asterisk corrigiram, neste dia 07 de julho, dois problemas de segurança que estavam relacionados a uma vulnerabilidade Denial-of-Service (DoS) em seu sistema open source PBX. Os bugs detectados nas áreas de correio de voz da aplicação, foram abordados pelo lançamento das seguintes versões: 1.8.11-cert4 e 1.8.13.1, 10.5.2, 10.5.2-digiumphones. Por isso, em uma determinada situação, os atacantes são capazes de "amarrar" o servidor Asterisk usando todos os ports RTP (Real-time Transport Protocol) que estiverem disponíveis, o que leva à ocorrência de uma situação de negação de serviço.
Nessa versão vulnerável do software, se o Asterisk enviar nova solicitação para uma chamada sobre o protocolo SIP e um terminal retornar com uma resposta provisória (mas nunca enviar a resposta final), as portas RTP para a chamada não serão divulgadas. Se houver uma repetição excessiva de tal situação, o servidor vai funcionar "fora dos portos" RTP e ficará impossibilitado de receber quaisquer tipos de chamadas.
Saiba Mais:
[1] Heise On-line http://www.h-online.com/security/new...d-1633600.html
Mensagem do Sistema