Fecha de publicación: 12/12/2016

Importancia: 5 – Crítica

Recursos afectados: 

  • Asterisk Open Source: todas las versiones 14.x y dentro de las versiones 13.x, la 13.12.0 y posteriores. 

Descripción: 

Se ha reportado una vulnerabilidad que provoca la parada abrupta del sistema si se recibe una offer o answer de SDP de un punto final que utilice el codec Opus. 

Solución: 

Actualizar a las versiones de Asterisk Open Source 13.13.1 y 14.2.1 que corrigen esta vulnerabilidad. 

Detalle: 

Si se recibe una petición de offer o de answer de SDP con los parámetros de formato separados por un espacio, el código encargado de parsearlo se invocará de forma recursiva a si mismo de forma indefinida hasta que se produce la parada abrupta del servicio. Esto sucede porque los espacios no son gestionados correctamente por el software. No es necesario que el endpoint Asterisk tenga configurado el codec Opus, ni que esté autenticado. Esta vulnerabilidad puede ser explotada de forma remota.