Обратились ко мне с интересным вопросом — продемонстрировать возможность вызвать падение удаленного Asterisk отправкой RTP пакета определенного вида. Я люблю интересные вопросы, поэтому потратил некоторое время для изысканий, в которых самым интересным было — найти возможность модифицировать один из пакетов в libpcap дампе. Отправить RTP пакеты в сеть с помощью sipp уже задача простая и описанная.
Команда разработчиков проекта Asterisk рада представить новые версии: 1.6.0.11 rc2, 1.6.1.2, 1.6.1.3 rc1 и четвертую beta-версию 1.6.2.0. Все новые версии незамедлительно доступны для загрузки на http://downloads.asterisk.org/pub/telephony/asterisk/.
В релизе 1.6.1.2 исправлена уязвимость RTP стека, позволяющая вызвать падение программы. Опубликовано соответствующее описание уязвимости AST-2009-004. Атакующий может удалённо вызвать падение Asterisk отправкой специально сформированных текстовых RTP фреймов. Данная уязвимость не может привести к выполнению постороннего кода.
Релиз-кандидаты и бета версия, в дополнение к прочим исправлениям, содержат важную доработку поддержки T.38 в Asterisk. Если вы встречались с проблемами при работе в T.38 в релизах серии 1.6, настоятельно рекомендуется проверить на наличие проблем один из представленных кандидатов на релиз.
Практически каждую неделю появляется новые идеи по расширению и так уже большого функционала Asterisk. Практически каждые две недели эти идеи воплощаются в том или ином виде в код, доступный к тестированию. Проходит месяц другой, прежде чем этот код действительно станет пригоден к использованию и тестированию рядовыми администраторами и пользователями. В очередной (второй) раз представляю список проектов, проходящих сейчас третью часть пути 🙂
Сегодня появились новые версии во всех ветках проекта Asterisk. Столь масштабное действие связано с обнаружением сразу трёх уязвимостей, позволяющих нарушить работу телефонной системы. Очень рекомендую всем обновиться, так как характер уязвимостей таков, что им подвержены практически все установленные системы. Краткое описание белютеней безопасности ниже.