El equipo de desarrolladores de Asterisk acaba de anunciar unas actualizaciones que  corrigen ciertas vulnerabilidades y solucionan algunos bugs encontrados en las versiones anteriores.

En el último año, se han hecho modificaciones al canal IAX2 para combatir el aumento de ataques que provocaban un aumento desproporcionado del tráfico. Desafortunadamente el parche que lo solucionaba no estaba completo y no pudo ser solucionado hasta que el descubridor del exploit decidiese compartir la información al público.

Esta actualización soluciona fallos de todos los Asterisk que permiten llamadas no autentificadas mediante IAX2.

Podeis encontrar más información en el siguiente boletín de seguridad:
http://downloads.digium.com/pub/security/AST-2008-006.pdf

También podeis descargar las nuevas versiones desde el siguiente enlace:
http://downloads.digium.com/pub/telephony/asterisk/

Los próximos días 8 y 9 del mes de Mayo se celebrará la 4ta edición de la WhyFLOSS Conference, con entrada LIBRE y GRATUITA y con CERTIFICADOS DE ASISTENCIA y PONENCIAS DE NEGOCIO y TÉCNICAS orientadas a CIOs, empresas públicas y privadas, emprendedores, estudiantes y profesionales de IT.

Este evento se celebrará en la Escuela de Informática de la Universidad Politécnica de Madrid, Campus Sur y contará con las siguientes conferencias, seguro que interesan más de una:

• Open-Cities: El reto de la administración electrónica.
• VII programa Marco en la UE: Floss Include y Floss Metric.
• Modelos de negocios utilizando Asterisk.
• Clústering computacional en el CSIC.
• La implicación de la Free Information Infraestructure en los estándares abiertos en Europa.
• Caso de éxito: OpenSolaris en Accenture.
• ¿Es viable el Software Libre en la indústria? El caso de RedHat y JBoss.
• Evolución e Influencia del Software Libre en los últimos 10 años.
• Liferay Enterprise Portal: El proyecto, el producto, la comunidad y cómo extenderla.
• Openbravo: Las claves del éxito del desarrollo en las aplicaciones en Software Libre.
• Rocks: Distribución para clusters computacionales.
• Proyecto PROAIRESIS: Software Libre al servicio de la comunidad educativa.
• Seguridad en OpenSolaris.
• DJango: Framework MVC en Python.

Aunque la entrada es gratuita, se recomienda inscribirse con anterioridad.

Más información: http://www.whyfloss.com/es/conference/madrid08/

El equipo de desarrollos de Asterisk ha anunciado varias actualizaciones de seguridad en todas las versiones de Asterisk:

• Asterisk 1.2.27
• Asterisk 1.4.18.1
• Asterisk 1.6.0-beta6 

Estas actualizaciones solucionan algunos bugs de seguridad como:

1. Overflow en el manejo de RTP
2. Llamadas sin autenticarse en el canal SIP
3. Vulnerabilidad en logger y manager.

A actualizar se ha dicho!

Ingate organiza un webinar (charla, webcast,…) sobre seguridad en entornos SIP, algo que seguro le interesará a todos aquellos que trabajamos en entornos donde las comunicaciones viajan mediante este protocolo.

La asistencia a la charla es gratuita, aunque es importante registrarse previamente y será exclusivamente en inglés.

Los ponentes de la charla son Steven Johnson (presidente de Ingate) y Dan York (fundador de Voipsa).

La conferencia será el 10 de Abril a las 19:00 hora española y se permitirá un turno final de preguntas donde los asistentes podrán interrogar a estos expertos.

Temas que enseñarán:

• Fallos de concepto en seguridad, requerimientos y necesidades
• VoIP vs. PSTN: Cómo SIP y la VoIP pueden ser más seguras que la telefonía tradicional
• Los ajustes en seguridad que seguramente necesites (y las que no)
• Aspectos básicos de la seguridad en una empresa con VoIP: SRTP, TLS y NAT traversal
• Últimas novedades en cuanto a segurida

Si estais interesados, tan solo teneis que apuntaros en esta dirección:
https://event.on24.com/eventRegistration/EventLobbyServlet

Saúl Ibarra acaba de publicar el material de una conferencia que dió la semana pasada sobre seguridad en una red VoIP muy interesante.

Lo podeis ver aquí:
http://www.saghul.net/

Malcolm Davenport acaba de anunciar el nuevo firmware 1.1 para el appliance AA50 de Digium.

Entre las novedades de esta versión destacan:

* Por fín parámetros en otros idiomas (además de Inglés) en la GUI
* Códec G722
* Aprovisionamiento de Polycom desde la WAN
* Incluye el ABE basada en la versión de Asterisk 1.4
* Añadido soporte anti-bucles infinitos cuando se programan los desvíos
* Adjuntos del buzón de voz vía email en formato WAV.
* Muchas novedades, campos nuevos y mejoras en la estabilidad de la GUI
* y como siempre, los últimos bugs solucionados.

Vía: http://blogs.digium.com

Copio y pego…

Se han encontrado múltiples vulnerabilidades en teléfonos VoIP Cisco Unified IP Phone que podrían ser aprovechadas por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

Las vulnerabilidades anunciadas por Cisco son:

* Los Cisco Unified IP Phones que ejecutan firmware SCCP y SIP podrían contener un desbordamiento de búfer provocado por la forma en la que manejan las respuestas DNS. Esto podría ser aprovechado por un atacante remoto por medio de una respuesta DNS especialmente manipulada para disparar un desbordamiento de búfer pudiendo ejecutar código arbitrario en un teléfono vulnerable.

* Los teléfonos que ejecutan firmware SCCP podrían contener una denegación de servicio. Esto podría ser aprovechado por un atacante remoto por medio de un paquete de petición de echo ICMP demasiado larga para causar que el teléfono se reinicie.

* También existe una denegación de servicio en el servidor HTTP de los Cisco Unified IP Phones que ejecutan firmware SCCP. Esto podría ser aprovechado por un atacante remoto, por medio de una petición HTTP especialmente manipulada enviada al puerto 80, para causar que el teléfono se reinicie. Esto puede evitarse si se deshabilita el servidor HTTP interno.

* Los Cisco Unified IP Phones que ejecutan firmware SCCP podrían contener un desbordamiento de búfer en el servidor SSH interno. Un atacante remoto no autenticado podría aprovechar este problema, por medio de un paquete especialmente manipulado enviado al puerto TCP 22, para provocar que el teléfono se reinicie o para ejecutar código arbitrario. Esto puede evitarse si se deshabilita el servidor SSH.

* Los Cisco Unified IP Phones que ejecutan firmware SIP se ven afectados por un desbordamiento de búfer provocado por la forma en la que manejan los datos codificados como MIME (Multipurpose Internet Mail Extensions). Un atacante remoto podría aprovechar este error a través de un mensaje SIP especialmente manipulado para provocar un desbordamiento de búfer que incluso podría llegar a permitir la ejecución de código arbitrario en un teléfono vulnerable.

Noticia completa en: Hispasec

Esta es, sin duda, la versión más testeada y estable de Asterisk 1.4, gracias cómo no, al nuevo sistema de versiones que Digium está llevando a cabo.

Tras cuatro “release candidate“, por fín ve la luz la versión final 1.4.18.

Como ventajas, además de los comunes arreglos a los bugs encontrados que podeis ver en el ChangeLog, se me ocurre una muy importante: han hecho falta 4 Release Candidates para poder sacar esta versión lo que, en mi opinión, la convierte en la más testeada y estable de todas y cuantas versiones han visto la luz hasta ahora.

Podeis descargarla de donde siempre:
http://downloads.digium.com/pub/asterisk/

Hace algún tiempo, un compañero me comentaba las dificultades que tenía su jefe en China para llamar por VoIP a España ya que parece que los lugares públicos tienen filtrados los puertos y no dejan pasar ciertos paquetes entre los que se encuentran señalización SIP, Skype, IAX, etc…

Tras buscar entre varios sitios, concluimos que hay muchos proveedores que permiten llamar a China, pero pocos los que permiten, desde China, hacer llamadas al resto del mundo. (creo que todos sabemos porqué).

Al final la solución temporal consistió en hacer un “callback” desde un móvil a un Asterisk y que fuese este el que, utilizando un proveedor IP, le llamase y al hacer un DISA, pudiese llamar a su familia aquí en España.

Temporal fue, ya que parece ser que las operadoras de allí también vigilan quien te llama, y cuantas veces, y tras comprobarlo con varios teléfonos móviles, a la décima vez (10) que el móvil hacía una llamada al mismo númer, salía sin CallerID, e incluso probando a permitir un callback sin caller id (con lo peligroso que puede llegar a ser eso), a la llamada número 20, aparecía una señorita muy mona que hacía de “proxy” y el callback dejaba de funcionar.

Pues parece ser que, pese a las dificultades que tienen en China para utilizar la VoIP (utilizar, que no fabricar, que de eso parece que van sobrados, aunque no se yo cómo hacen ciertas pruebas...) descubro de un proveedor que permite hacer algo similar a lo que hacía mi compañero: Talkster.

Enlace: http://www.talkster.cn/

Desde aquí le deseamos suerte a esta empresa que, de haberla conocido en aquel momento nos hubiera venido bastante bien. (por cierto, apostaría que utiliza Asterisk! )

FreeSwitch acaba de anunciar que ya dispone de señalización SIP bajo TLS y RTP segura mediante SDES lo que permite una conversación cifrada mucho más segura.

Si a esto le sumamos que el creador del PGP también está trabajando para desarrollar su protocolo de VoIP segura en FreeSwitch (además de Asterisk) podemos concluir que estos sistemas van a conseguir ponérselo difícil a los que les gusta escuchar conversaciones.

Enlace: http://www.freeswitch.org/node/105