“Los clientes de las soluciones de Voz sobre IP (VoIP) de Avaya, Cisco y Nortel han sido alertados por unas vulnerabilidades que podrían conllevar la ejecución de código remoto, accesos no autorizados, denegación de servicio y recolección de información. Estos errores han sido encontrados por los Laboratorios VoIPshield y dados a conocer rápidamente a los tres fabricantes con el fin de que tuvieran tiempo suficiente para desarrollar los parches necesarios, según Rick Dalmazzi, presidente y CEO de VoIPshield, quien, no obstante, no ha querido facilitar más detalles dado que su compañía y los tres fabricantes afectados acordaron realizar un anuncio conjunto.”

“Eso sí, este responsable confirmaba que al menos dos de los tres nombres afectados tienen ya desarrollados los parches que solucionan estas vulnerabilidades y que el tercero de ellos (que no dicen cual es) lo tendrá en breve. Según Dalmazzi, se eligió a Avaya, Cisco y Nortel para hacer estas pruebas de vulnerabilidad porque representan la mayor parte de las ventas de centralitas IP en el mercado estadounidense. No obstante, anuncia que en las próximas pruebas se incluirá también a Microsoft, cuyos resultados estarán disponibles en unos cuatro meses, aproximadamente.”

Cuando alguien lee una noticia como esta, la mayoría piensa que pueden ser simples errores que se corrigen rápidamente y no tienen mayor repercusión, pero cuando vemos que una vulnerabilidad de este tipo que el usuario NO PUEDE solucionar por su cuenta (al ser código cerrado) y de hecho debe tener contratado un mantenimiento (en función del tamaño de la infraestructura) para tener “derecho” a actualizaciones, el problema se vuelve mucho más grave.

Dentro de 4 meses, se publicarán las vulnerabilidades del sistemas de comunicaciones de Microsoft. Las típicas centralitas basadas en Windows que, además de las posibles vulnerabilidades que se pueden llegar a encontrar (provocadas generalmente por errores en la programación, o falta de pruebas), se le añade otros que multiplican por 1000 los factores de riesgos, como son el contagio de un virus, troyanos, o simples gusanos que detecte el sistema de comunicaciones y se dedique a hacer llamadas sin parar a números 906 por las noches (por desgracia ya hay varias pruebas de virus de este tipo circulando por internet) lo que puede llegar a ser la ruina completa para una pequeña empresa.

Sin duda, malas noticias.

Leyendo VoipNovatos y Saghul.net me doy cuenta que el equipo de desarrolladores de Asterisk acaban de publicar la versión 1.4.20 estable de Asterisk.

Realmente no hay ningún cambio con respecto a la versión rc3, y justamente sea eso lo que habrán considerado para convertirla en estable: si nadie comenta ningún comportamiento extraño, es que será estable.

Entre los cambios con respecto a la anterior versión 1.4.19.2 se encuentran varios referentes al chan_sip (ya era necesario) donde solucionan algunos bugs encontrados y añaden ciertos soportes que mejoran la compatibilidad con otros sistemas SIP.

Seguramente esta versión, si todo apunta bien, esta será de las más completas y seguras que tiene Asterisk. (cruzaremos los dedos)

Actualización:
La versión ha pasado a ser la 1.4.20.1 debido a unos errores de última hora en la consola que han sido corregidos.

Podeis ver la lista de cambios aquí:
http://svn.digium.com/view/asterisk/tags/1.4.20/ChangeLog?view=markup

Y descargarla de donde siempre:
http://downloads.digium.com/pub/asterisk/

(El día que deje de escribir los enlaces, seguro que alguien pregunta por ellos… xD)

Esto es algo que no me sorprende, y es que la gente de Fonality está hasta el gorro de recibir las quejas de los usuarios cuando alguna parte del FreePBX no funciona (lo siento Paco, lo han dicho ellos) y mucho peor, tener que estar pagando continuamente a la gente de FreePBX para solucionar cuanto antes los bugs que van apareciendo.

Realmente, Fonality y más concretamente Trixbox no sería lo que es hoy sin dos aplicaciones: Asterisk y FreePBX y aunque estuvieron a punto de abandonar FreePBX en favor de AsteriskGUI, las constantes discusiones que mantiene esta empresa con Digium ha dificultado el paso y han continuado atados de por vida a esta aplicación.

Pero cada vez que TrixBox actualizaba su versión particular de Asterisk para no quedar completamente desfasados con respecto a la versión oficial de Asterisk, tenían que realizar cambios en FreePBX para compatibilizarlo y esto se hacía más rápidamente a golpe de talonario.

A la vista de esto, Fonality ha dicho basta y va a comenzar a reprogramar una versión paralela (fork) de la aplicación FreePBX y realizando mejoras y parches supuestamente con licencia GPL (ya lo veremos).

Mientras los parches los ofrezcan a la comunidad FreePBX para mejorar este software, me parecerá bien, seguiré sin utilizarlo, pero me alegraré por que la empresa empiece a “dar” y no solo “recibir“.

Enlace: http://trixbox.org/forums/…/regarding-freepbx
Vía: VentureVoIP

En el blog de Jesús Rodríguez leo que acaba de hacerse pública la versión 1.3.2 de OpenSer.

Al parecer, esta versión soluciona algunos bugs en los módulos de bases de datos MySQL, PostgreSQL y ODBC, en el esquema de autentificación y mejora en la gestión de la memoria.

Aquí podeis ver el ChangeLog y descargarlo de aquí.
Enlace: http://www.openser.org/mos/view/News/NewsItem/OpenSER-1.3.2-is-released/

Pese a que muchos blogs y páginas de noticias sobre VoIP y Asterisk anuncian a bombo y platillo cada versión, revisión y corrección de bugs de Asterisk, estoy seguro que más de uno no le importa lo más mínimo cual es la última versión que salió ayer u hoy, no obstante, es importante recordar qué cambios va haciendo Asterisk ya que como un proyecto vivo, aquellos que siguen Sinologic y leen las noticias de las versiones, seguro que conocen en menor o mayor medida qué añadidos son importantes e interesantes para futuras implementaciones.

En esta ocasión, la versión que ha salido hoy es la 1.6.0-beta9 (la beta más alta que recuerdo en Asterisk) y que tiene como último añadido, una feature escrita por nuestro colega Olle sobre envío de mensajes en modo texto mediante el chan_sip, algo que empieza a tomar forma. Lástima que el chan_sip siempre vaya tan lento pese a ser uno de los módulos más utilizados en Asterisk.

Sobre todo, lo que tiene esta versión son correcciones de bugs encontrados desde la última versión.

Podeis ver el ChanLog aquí:
http://downloads.digium.com/pub/telephony/asterisk/ChangeLog-1.6.0-beta9

y cómo no, descargarlo de aquí:
http://downloads.digium.com/pub/telephony/asterisk/

Acaban de publicarse dos actualizaciones bastante interesantes:

Por un lado, el zaptel 1.4.10.1 que corrige algunos fallos del soporte del xpp (de Xorcom) y del udev.

Por el otro lado, una “release candidate” de Asterisk 1.4.20 que trae algunas mejoras en distintos protocolos como IAX y SIP. Se ve que Olle Johansson, tras el SIP MasterClass de Orlando, se ha vuelto a poner las pilas con el chan_sip y le ha hecho algunas modificaciones bastante interesantes.
A ver si en la SIP MasterClass de Barcelona, le animamos lo suficiente para que continúe dándole guerra al chan_sip.

Para descargar la última versión de zaptel:
http://downloads.digium.com/pub/zaptel/

Para descargar la última versión de Asterisk RC 1:
http://downloads.digium.com/pub/asterisk

El equipo de desarrolladores de Asterisk acaba de anunciar unas actualizaciones que  corrigen ciertas vulnerabilidades y solucionan algunos bugs encontrados en las versiones anteriores.

En el último año, se han hecho modificaciones al canal IAX2 para combatir el aumento de ataques que provocaban un aumento desproporcionado del tráfico. Desafortunadamente el parche que lo solucionaba no estaba completo y no pudo ser solucionado hasta que el descubridor del exploit decidiese compartir la información al público.

Esta actualización soluciona fallos de todos los Asterisk que permiten llamadas no autentificadas mediante IAX2.

Podeis encontrar más información en el siguiente boletín de seguridad:
http://downloads.digium.com/pub/security/AST-2008-006.pdf

También podeis descargar las nuevas versiones desde el siguiente enlace:
http://downloads.digium.com/pub/telephony/asterisk/

Tras unos bugs bastante curiosos detectados en el zaptel cuando se configuran con tarjetas de primarios, Digium acaba de lanzar la versión 1.4.10 que parece que solucionan dicho bug primarios que cambian ciertas propiedades demasiado rápido (de los que casualmente en España son la mayoría) por lo que actualizar a esta versión es mucho más que altamente recomendable para aquellos dueños de tarjetas de primarios PCI y PCI-Express ya que mejora su rendimiento entre otros motivos, por el uso del VoiceBus incluido en las tarjetas que permite, entre otras cosas, mejorar ámpliamente el rendimiento de las tarjetas Digium cuando las tarjetas comparten interrupciones (IRQ).

También se esperaba que en esta versión estuviera incluido ya el modulo ztd-ethmf para Redfone, pero parece ser que no ha sido incluido en el último momento.

Entre otros cambios que esperaba en esta versión han incluido la detección de línea en los puertos FXO de la TDM a través de los avisos de alertas de colores tal y como se venía haciendo con las tarjetas de primarios.

Por último, incluye soporte para una nueva tarjeta que Digium lanzará próximamente.

Como podeis imaginar, esta actualización era muy esperada y corrige muchos y grandes bugs, a la vez que mejora el funcionamiento de las tarjetas e iba a incluir soporte para los dispositivos Red-fone, aunque tendremos que esperar un poco más antes de ser incluido en el paquete.

Actualización: Estaba probando la nueva versión cuando he recordado otra ventaja que trae esta versión:
La versión mISDN que trae por defecto al ejecutar el comando make b410p es la 1.1.7-2, que ya era hora.

Podeis descargarlo de aquí:
http://downloads.digium.com/pub/zaptel/

Leyendo el blog de Saúl, me entero que el equipo de desarrolladores de Asterisk acaba de publicar una actualización de AsteriskNOW que soluciona algunos bugs que se encontraron en la versión 1.0.1.

¿Porqué no llevan el sistema de control de versiones en AsteriskNOW de la misma manera que con Asterisk, basado en versiones RC y habilitando fechas para el envío de bugs encontrados por la comunidad?

AsteriskNOW es una distribución de Linux basada en rPath destinada a introducir a los curiosos en el mundo de Asterisk de una forma rápida y visual, no creo que esté indicada para algo serio, ya que para eso tienen el ABE.

Enlace: http://www.asterisknow.org

Espero que esta sea la última beta de Asterisk 1.6. por lo menos en la 1.4, la beta 4 fue la última.

Sobre todo se han corregido los bugs que han ido encontrando y reportando a bugs.digium.com:

• 12020, mejora en el formateo de la consola CLI
• 11964, añadida la habilidad de obtener el número llamado original en llamadas en SS7.
• 11873, Añadido cambios en el núcleo de la API para manejar Origination y Termination T.38 (adiós al Passthru) (La versión app_fax en Asterisk-addons ahora lo soporta)
• 11553, Añadida una mejora en la aplicación ChannelRedirect()

Los cambios en esta versión incluyen los arreglos a los siguientes bugs:

• 11960, un bug en el chan_sip
• 12021, un bug relativo a formatos inválidos en el voicemail
• 11779, arreglada la activación del cancelado de eco en llamada bajo SS7
• 11740, manejo de DTMF arreglado
• 11864, Solucionado el informe del estado en llamadas entrantes vía puerto FXO
• 12012, un bug en el chan_local
• Arreglado un bug en la negociación de códecs en la versión 1.6.0-beta3

La lista completa de cambios puede ser encontrada en el archivo Changelog  y esta versión puede ser descargada desde el lugar habitual:
http://download.digium.com/pub/asterisk/

Ya falta poco…