VOZ logo 17022

Si utilizas PJSIP, probablemente deberías actualizar

Hace algún tiempo avisamos que Sinologic no publicaría noticias relacionadas con seguridad. Principalmente porque uno debe ser responsable de estar al día de todo lo que surge en cuanto a vulnerabilidades, fallos de seguridad, etc. Por este motivo, todos deberíamos tener en nuestras pantallas un sistema tipo «telex» que nos informe en tiempo real de los problemas que ocurren.

No obstante, y por diversos motivos y proyectos personales, estoy un poco más en el día a día de ciertos temas relacionados con la seguridad, el fraude telefónico y cómo evitarlos, por lo que acabo de ver una vulnerabilidad que merece la pena comentar aquí:

Una vulnerabilidad de PJSIP en un paquete INVITE malintencionado podría provocar un crash de Asterisk.

https://downloads.asterisk.org/pub/security/AST-2020-001.html

Concretamente, este repositorio lo explica con un ejemplo para probarlo:

https://github.com/EnableSecurity/advisories/tree/master/ES2020-02-asterisk-tcp-invite-crash

Este bug ha sido resuelto en las versiones: 13.37.1, 16.14.1, 17.8.1, y 18.0.1

Así que si tenéis una versión anterior y utilizáis PJSIP como el 33% de los usuarios encuestados de Sinologic, os recomendamos actualizar a la siguiente versión cuanto antes.

Anterior artículoAsterisk 18 ya disponible
Siguiente artículo 17030-17022Autentificación en dos pasos en Debian 10