<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
</head>
<body bgcolor="#ffffff" text="#000000">
<pre wrap="">Prezados,

Algu&eacute;m j&aacute; passou pela experi&ecirc;ncia abaixo????

<img src="cid:part1.05080102.00040201@velus.com.br" border="0">


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# <a class="moz-txt-link-abbreviated" href="mailto:cais@cais.rnp.br">cais@cais.rnp.br</a>       <a
 class="moz-txt-link-freetext" href="http://www.cais.rnp.br">http://www.cais.rnp.br</a>                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   <a class="moz-txt-link-freetext"
 href="http://www.rnp.br/cais/cais-pgp.key">http://www.rnp.br/cais/cais-pgp.key</a>   #
################################################################


O CAIS est&aacute; repassando o alerta da Secunia, intitulado "SA36039: Asterisk
RTP Text Frames Denial of Service Vulnerability", que trata de uma
vulnerabilidade no Asterisk.

Asterisk &eacute; um software da Digium que implementa PABX, usado em centrais
telef&ocirc;nicas. Trata-se de uma das solu&ccedil;&otilde;es mais populares de Voz sobre IP
(Voice over IP - VoIP).

A vulnerabilidade est&aacute; na maneira como as vers&otilde;es vulner&aacute;veis de Asterisk
tratam quadros do tipo "text" do protocolo RTP (Real-time Transport
Protocol). Se explorada com sucesso por um atacante esta vulnerabilidade
pode criar uma condi&ccedil;&atilde;o de nega&ccedil;&atilde;o de servi&ccedil;o (DoS - Denial of Service), o
que interromperia os servi&ccedil;os do Asterisk.

Esta vulnerabilidade n&atilde;o permite que um atacante execute c&oacute;digo arbitr&aacute;rio
remotamente.


SISTEMAS AFETADOS

. Asterisk Open Source 1.6.x
  vers&otilde;es anteriores ao release 1.6.1.2 (todas as vers&otilde;es 1.6.1)


CORRE&Ccedil;&Otilde;ES DISPON&Iacute;VEIS

Recomenda-se a atualiza&ccedil;&atilde;o para a vers&otilde;es dispon&iacute;veis em:

. Asterisk Downloads
  <a class="moz-txt-link-freetext"
 href="http://www.asterisk.org/downloads">http://www.asterisk.org/downloads</a>


MAIS INFORMA&Ccedil;&Otilde;ES

. SA36039: Asterisk RTP Text Frames Denial of Service Vulnerability
  <a class="moz-txt-link-freetext"
 href="http://secunia.com/advisories/36039/">http://secunia.com/advisories/36039/</a>

. AST-2009-004: Remote Crash Vulnerability in RTP stack
  <a class="moz-txt-link-freetext"
 href="http://downloads.asterisk.org/pub/security/AST-2009-004.html">http://downloads.asterisk.org/pub/security/AST-2009-004.html</a>


Identificador CVE (<a class="moz-txt-link-freetext"
 href="http://cve.mitre.org">http://cve.mitre.org</a>):
CVE-2009-2651


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as &uacute;ltimas vers&otilde;es e
corre&ccedil;&otilde;es oferecidas pelos fabricantes.

Os Alertas do CAIS tamb&eacute;m s&atilde;o oferecidos no formato RSS/RDF:

<a class="moz-txt-link-freetext"
 href="http://www.rnp.br/cais/alertas/rss.xml">http://www.rnp.br/cais/alertas/rss.xml</a>

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# <a class="moz-txt-link-abbreviated" href="mailto:cais@cais.rnp.br">cais@cais.rnp.br</a>       <a
 class="moz-txt-link-freetext" href="http://www.cais.rnp.br">http://www.cais.rnp.br</a>                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   <a class="moz-txt-link-freetext"
 href="http://www.rnp.br/cais/cais-pgp.key">http://www.rnp.br/cais/cais-pgp.key</a>   #
################################################################
</pre>
</body>
</html>