Asterisk es una aplicación de software libre que permite emular todas (o la mayoría) de las funcionalidades de una centralita telefónica (PBX) desde la que se pueden realizar llamadas telefónicas, a través de RDSI o por Vo-IP. Asterisk ha publicado 2 nuevos boletines de seguridad en los que corrige 2 vulnerabilidades que le hacían vulnerable a ataques de denegación de servicio por un usuario externo.
Las vulnerabilidades solucionadas son las siguientes:
AST-2013-004: Esta vulnerabilidad era debida a un fallo en el driver del canal SIP que permitía recibir paquetes ACK una vez el canal había sido cerrado. Afecta a todas las versiones de Asterisk desde la 1.8.17 en adelante. Se puede consultar la hoja de la vulnerabilidad desde el siguiente enlace.
AST-2013-005: Esta vulnerabilidad también afectaba al driver del canal SIP que permitía a un paquete SDP enviado en una solicitud SIP definiera descripciones de los medios de comunicación antes que la información de conexión. Se puede consultar la hoja de la vulnerabilidad desde el siguiente enlace.
Ambos fallos permitían a un atacante externo realizar un ataque de denegación de servicio dejando a la centralita con Asterisk sin servicio. Se recomienda a todos los usuarios de esta centralita telefónica actualizar su versión para evitar que sean atacados por piratas informáticos.
Asterisk es multiplataforma, por lo que puede ser utilizado en cualquier equipo que utilice Linux, BSD, MacOS X, Solaris o Windows. Asterisk se puede descargar de forma libre y gratuita desde su página web.
Es excelente ver la capacidad de corrección de vulnerabilidades que tienen algunos programas libres y gratuitos, en ocasiones, estos programas llegan a ofrecer una respuesta más rápida ante errores que los programas privativos que tardan más tiempo en detectar y lanzar correcciones a vulnerabilidades. Siempre puedes revisar si hay ataques DDoS.
¿Eres usuario de Asterisk? ¿Cuál es tu opinión respecto a este software?