Asterisk ha publicado 3 vulnerabilidades: 2 de severidad crítica y 1 media, por las que un atacante podría ejecutar código arbitrario o realizar una denegación de servicio o un acceso a la memoria fuera de límites.

Recursos afectados: 

• Asterisk Open Source:
  • versiones 16.x;
  • versiones 18.x;
  • versiones 19.x.
• Certified Asterisk: versiones 16.x.

Descripción: 

• La longitud de la cabecera en los mensajes STUN entrantes, que contienen un atributo ERROR-CODE, no se comprueba correctamente. Esto puede dar lugar a un desbordamiento de enteros. Ten en cuenta que esto requiere que el soporte de ICE o WebRTC esté en uso con una parte remota maliciosa. Se ha asignado el identificador CVE-2021-37706 para esta vulnerabilidad.
• Cuando se actúa como UAC y  se realiza una llamada saliente a un objetivo que luego se bifurca, Asterisk puede experimentar un comportamiento indefinido (fallos, cuelgues, etc.) después de que se libere prematuramente un conjunto de diálogos. Se ha asignado el identificador CVE-2022-23608 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2022-21723.

Recomendaciones: 

Si se utiliza "with-pjproject-bundled", actualizar o instalar una versión de Asterisk de las que se indican a continuación:

• Asterisk Open Source:
  • 16.24.1;
  • 18.10.1;
  • 19.2.1.
• Certified Asterisk:
  • 16.8-cert13.

De lo contrario, instalar la versión apropiada de pjproject que contiene el parche.

Referencias:

• https://downloads.asterisk.org/pub/security/AST-2022-004.html
• https://downloads.asterisk.org/pub/security/AST-2022-005.html
• https://downloads.asterisk.org/pub/security/AST-2022-006.html