El equipo de desarrollos de Asterisk ha anunciado varias actualizaciones de seguridad en todas las versiones de Asterisk:

• Asterisk 1.2.27
• Asterisk 1.4.18.1
• Asterisk 1.6.0-beta6 

Estas actualizaciones solucionan algunos bugs de seguridad como:

1. Overflow en el manejo de RTP
2. Llamadas sin autenticarse en el canal SIP
3. Vulnerabilidad en logger y manager.

A actualizar se ha dicho!

Ingate organiza un webinar (charla, webcast,…) sobre seguridad en entornos SIP, algo que seguro le interesará a todos aquellos que trabajamos en entornos donde las comunicaciones viajan mediante este protocolo.

La asistencia a la charla es gratuita, aunque es importante registrarse previamente y será exclusivamente en inglés.

Los ponentes de la charla son Steven Johnson (presidente de Ingate) y Dan York (fundador de Voipsa).

La conferencia será el 10 de Abril a las 19:00 hora española y se permitirá un turno final de preguntas donde los asistentes podrán interrogar a estos expertos.

Temas que enseñarán:

• Fallos de concepto en seguridad, requerimientos y necesidades
• VoIP vs. PSTN: Cómo SIP y la VoIP pueden ser más seguras que la telefonía tradicional
• Los ajustes en seguridad que seguramente necesites (y las que no)
• Aspectos básicos de la seguridad en una empresa con VoIP: SRTP, TLS y NAT traversal
• Últimas novedades en cuanto a segurida

Si estais interesados, tan solo teneis que apuntaros en esta dirección:
https://event.on24.com/eventRegistration/EventLobbyServlet

Saúl Ibarra acaba de publicar el material de una conferencia que dió la semana pasada sobre seguridad en una red VoIP muy interesante.

Lo podeis ver aquí:
http://www.saghul.net/

La penúltima versión de Asterisk 1.6 se hizo pública anoche: Asterisk 1.6.0 Beta 3.

Los cambios con respecto a la beta2 son sobre todo arreglos a los bugs detectados así como algunas características nuevas como:

 * Añadida la opción ‘n‘ a la aplicación SpeechBackground para ejecutarse incluso cuando el canal no haya sido contestado
* Creadas nuevas acciones para el manager (AMI) para mejorar la edición de archivos desde este interfaz:

- Listar los contextos de un archivo
- Obtener las líneas de un contexto determinado
- Borrar un contexto
- Crear un nuevo archivo de configuración
- Borrar una línea por la posición con respecto a la línea de definición del contexto
- Insertar variables y contexto en una línea determinada
- Insertar contextos dentro de otros
- Añadida una condición de falso al GotoIfTime
- Añadidos nuevos eventos para visualizar las estadísticas del jitterbufferen IAX2.

Recordad, que en la GUI que es principalmente quien utiliza estas acciones mediante el AMI, a los contextos los llama categoría.

Descargar: http://downloads.digium.com/pub/asterisk

Copio y pego…

Se han encontrado múltiples vulnerabilidades en teléfonos VoIP Cisco Unified IP Phone que podrían ser aprovechadas por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

Las vulnerabilidades anunciadas por Cisco son:

* Los Cisco Unified IP Phones que ejecutan firmware SCCP y SIP podrían contener un desbordamiento de búfer provocado por la forma en la que manejan las respuestas DNS. Esto podría ser aprovechado por un atacante remoto por medio de una respuesta DNS especialmente manipulada para disparar un desbordamiento de búfer pudiendo ejecutar código arbitrario en un teléfono vulnerable.

* Los teléfonos que ejecutan firmware SCCP podrían contener una denegación de servicio. Esto podría ser aprovechado por un atacante remoto por medio de un paquete de petición de echo ICMP demasiado larga para causar que el teléfono se reinicie.

* También existe una denegación de servicio en el servidor HTTP de los Cisco Unified IP Phones que ejecutan firmware SCCP. Esto podría ser aprovechado por un atacante remoto, por medio de una petición HTTP especialmente manipulada enviada al puerto 80, para causar que el teléfono se reinicie. Esto puede evitarse si se deshabilita el servidor HTTP interno.

* Los Cisco Unified IP Phones que ejecutan firmware SCCP podrían contener un desbordamiento de búfer en el servidor SSH interno. Un atacante remoto no autenticado podría aprovechar este problema, por medio de un paquete especialmente manipulado enviado al puerto TCP 22, para provocar que el teléfono se reinicie o para ejecutar código arbitrario. Esto puede evitarse si se deshabilita el servidor SSH.

* Los Cisco Unified IP Phones que ejecutan firmware SIP se ven afectados por un desbordamiento de búfer provocado por la forma en la que manejan los datos codificados como MIME (Multipurpose Internet Mail Extensions). Un atacante remoto podría aprovechar este error a través de un mensaje SIP especialmente manipulado para provocar un desbordamiento de búfer que incluso podría llegar a permitir la ejecución de código arbitrario en un teléfono vulnerable.

Noticia completa en: Hispasec

Esta es, sin duda, la versión más testeada y estable de Asterisk 1.4, gracias cómo no, al nuevo sistema de versiones que Digium está llevando a cabo.

Tras cuatro “release candidate“, por fín ve la luz la versión final 1.4.18.

Como ventajas, además de los comunes arreglos a los bugs encontrados que podeis ver en el ChangeLog, se me ocurre una muy importante: han hecho falta 4 Release Candidates para poder sacar esta versión lo que, en mi opinión, la convierte en la más testeada y estable de todas y cuantas versiones han visto la luz hasta ahora.

Podeis descargarla de donde siempre:
http://downloads.digium.com/pub/asterisk/

Leo en Voipsec que la gente de SANS han publicado un documento la mar de interesante donde se analizan los principales problemas de seguridad a los que debe enfrentarse un implementador de sistemas VoIP.

Los puntos que trata:

- Security vulnerabilities transitioning from POTS to VoIP
- Real Time Protocol (RTP)
- Asterisk and Inter-Asterisk Exchange (IAX)
- Session Initiation Protocol (SIP)
- Skype
- Cisco VoIP

Podeis leerlo aquí:
http://www.sans.org/reading_room/whitepapers/voip/2036.php

En Julio de este año ya hablamos de las posibilidades de Linux, una aplicación llamada “motion” utilizándolo como detector de movimiento y Asterisk para llegar a construir un sistema de alarmas con una webcam y Asterisk.

En aquel momento, el artículo que escribí fue simplemente una “idea” que ofrecía según las posibilidades de esta aplicación y Asterisk, y me he llevado una grata sorpresa al ver que dicha idea ha sido realizada por la empresa Servitux e incluso han escrito un tutorial donde podemos desarrollarlo con un esfuerzo mínimo.

El tutorial lo podeis encontrar en su página:
http://www.servitux.org/view.php/page/alarma

Gracias a Paco Brufal por el aviso.

Fring, nos anuncia que acaban de lanzar una nueva versión (3.24.16) que soluciona algunos bugs que han ido encontrando y aportan más estabilidad y más velocidad por lo que acabo de comprobar.

Esta nueva versión es compatible con los móviles de la gama Symbian Serie60,9.1 y 9.2, aquellos afortunados que dispongan del N95, N81 o N82 también es compatible con la versión 9.2.

Enlace: http://www.fring.com/

El equipo de desarrolladores de Asterisk nos anuncian que acaban de publicar la versión 1.4.16 y 1.2.26 de Asterisk que soluciona unos bugs reportado hace un par de semanas.

Entre los bugs más destacados se encuentra uno que afecta a los usuarios que configuran las cuentas IAX2 en RealTime con autentificación por “host” (host=X.X.X.X)

Podeis descargar la nueva versión desde donde siempre:
http://downloads.digium.com/pub/asterisk/asterisk-1.4.16.tar.gz

Y el ChangeLog correspondiente con los cambios de los bugs encontrados:
http://downloads.digium.com/pub/asterisk/ChangeLog-1.4.16