<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
</head>
<body bgcolor="#ffffff" text="#000000">
<pre wrap="">Prezados,
Alguém já passou pela experiência abaixo????
<img src="cid:part1.05080102.00040201@velus.com.br" border="0">
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# <a class="moz-txt-link-abbreviated" href="mailto:cais@cais.rnp.br">cais@cais.rnp.br</a> <a
class="moz-txt-link-freetext" href="http://www.cais.rnp.br">http://www.cais.rnp.br</a> #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel <a class="moz-txt-link-freetext"
href="http://www.rnp.br/cais/cais-pgp.key">http://www.rnp.br/cais/cais-pgp.key</a> #
################################################################
O CAIS está repassando o alerta da Secunia, intitulado "SA36039: Asterisk
RTP Text Frames Denial of Service Vulnerability", que trata de uma
vulnerabilidade no Asterisk.
Asterisk é um software da Digium que implementa PABX, usado em centrais
telefônicas. Trata-se de uma das soluções mais populares de Voz sobre IP
(Voice over IP - VoIP).
A vulnerabilidade está na maneira como as versões vulneráveis de Asterisk
tratam quadros do tipo "text" do protocolo RTP (Real-time Transport
Protocol). Se explorada com sucesso por um atacante esta vulnerabilidade
pode criar uma condição de negação de serviço (DoS - Denial of Service), o
que interromperia os serviços do Asterisk.
Esta vulnerabilidade não permite que um atacante execute código arbitrário
remotamente.
SISTEMAS AFETADOS
. Asterisk Open Source 1.6.x
versões anteriores ao release 1.6.1.2 (todas as versões 1.6.1)
CORREÇÕES DISPONÍVEIS
Recomenda-se a atualização para a versões disponíveis em:
. Asterisk Downloads
<a class="moz-txt-link-freetext"
href="http://www.asterisk.org/downloads">http://www.asterisk.org/downloads</a>
MAIS INFORMAÇÕES
. SA36039: Asterisk RTP Text Frames Denial of Service Vulnerability
<a class="moz-txt-link-freetext"
href="http://secunia.com/advisories/36039/">http://secunia.com/advisories/36039/</a>
. AST-2009-004: Remote Crash Vulnerability in RTP stack
<a class="moz-txt-link-freetext"
href="http://downloads.asterisk.org/pub/security/AST-2009-004.html">http://downloads.asterisk.org/pub/security/AST-2009-004.html</a>
Identificador CVE (<a class="moz-txt-link-freetext"
href="http://cve.mitre.org">http://cve.mitre.org</a>):
CVE-2009-2651
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.
Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
<a class="moz-txt-link-freetext"
href="http://www.rnp.br/cais/alertas/rss.xml">http://www.rnp.br/cais/alertas/rss.xml</a>
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# <a class="moz-txt-link-abbreviated" href="mailto:cais@cais.rnp.br">cais@cais.rnp.br</a> <a
class="moz-txt-link-freetext" href="http://www.cais.rnp.br">http://www.cais.rnp.br</a> #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel <a class="moz-txt-link-freetext"
href="http://www.rnp.br/cais/cais-pgp.key">http://www.rnp.br/cais/cais-pgp.key</a> #
################################################################
</pre>
</body>
</html>