[AsteriskBrasil] RES: Vulnerabilidade de DoS

Segunda Agosto 10 17:51:50 BRT 2009

Já passei.

Atenciosamente

Rafael Machado | ( 14 3405 1199 

www.aflsistemas.com.br

De: asteriskbrasil-bounces em listas.asteriskbrasil.org
[mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de
Guilherme Matos
Enviada em: segunda-feira, 10 de agosto de 2009 17:01
Para: asteriskbrasil em listas.asteriskbrasil.org
Assunto: [AsteriskBrasil] Vulnerabilidade de DoS

Prezados,

Alguém já passou pela experiência abaixo????

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

O CAIS está repassando o alerta da Secunia, intitulado "SA36039: Asterisk
RTP Text Frames Denial of Service Vulnerability", que trata de uma
vulnerabilidade no Asterisk.

Asterisk é um software da Digium que implementa PABX, usado em centrais
telefônicas. Trata-se de uma das soluções mais populares de Voz sobre IP
(Voice over IP - VoIP).

A vulnerabilidade está na maneira como as versões vulneráveis de Asterisk
tratam quadros do tipo "text" do protocolo RTP (Real-time Transport
Protocol). Se explorada com sucesso por um atacante esta vulnerabilidade
pode criar uma condição de negação de serviço (DoS - Denial of Service), o
que interromperia os serviços do Asterisk.

Esta vulnerabilidade não permite que um atacante execute código arbitrário
remotamente.

SISTEMAS AFETADOS

. Asterisk Open Source 1.6.x
  versões anteriores ao release 1.6.1.2 (todas as versões 1.6.1)

CORREÇÕES DISPONÍVEIS

Recomenda-se a atualização para a versões disponíveis em:

. Asterisk Downloads
  http://www.asterisk.org/downloads

MAIS INFORMAÇÕES

. SA36039: Asterisk RTP Text Frames Denial of Service Vulnerability
  http://secunia.com/advisories/36039/

. AST-2009-004: Remote Crash Vulnerability in RTP stack
  http://downloads.asterisk.org/pub/security/AST-2009-004.html

Identificador CVE (http://cve.mitre.org):
CVE-2009-2651

O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF:

http://www.rnp.br/cais/alertas/rss.xml

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20090810/893a0fe8/attachment-0001.htm 
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome  : não disponível
Tipo  : image/jpeg
Tam   : 12082 bytes
Descr.: não disponível
Url   : http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20090810/893a0fe8/attachment-0001.jpeg 