O time de desenvolvimento do Asterisk anunciou o lançamento de atualizações de segurança para versões do Asterisk 1.6.0.22, 1.6.1.14 e 1.6.2.2 que corrigem um bug no T.38
As atualizações estão disponíveis para download imediato em: http://downloads.asterisk.org/pub/telephony/asterisk/
A questão é que um attack remoto tentando negociar T.38 sobre SIP pode causar um crash no Asterisk, modificando o campo FaxMaxDatagram do SDP para conter um valor negativo faz com que o Asterisk pare de funcionar. O acidente também poderá ocorrer quando o campo FaxMaxDatagram é omitido no SDP. A solução pode se dar através da aplicação de um patch de segurança que ja vem nativo nessas novas versões.
Como o Asteirsk 1.4 não suporta esse tipo de dados ele não está vulneravel, por tanto não existe a necessidade de atualizar.
Para mais informações sobre os detalhes desta vulnerabilidade, leia o Security Advisory AST-2009-009, que foi lançado ao mesmo tempo, como este anúncio.
Para obter uma lista completa de mudanças nesses lançamentos, consulte o registro de alterações na:
- Asterisk 1.6.0.22 (ChangeLog)
- Asterisk 1.6.1.14 (ChangeLog)
- Asterisk 1.6.2.2 (ChangeLog)
O Security advisory AST-2010-001 está disponível aqui: http://downloads.asterisk.org/pub/security/AST-2010-001.pdf
