Inyección SQL en Asterisk


AsterikSe ha anunciado la existencia de una vulnerabilidad de inyección de código en Asterisk que podría llegar a permitir el compromiso de la aplicación.Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP. Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más. Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.

El fallo se debe a una insuficiente validación de entrada en Call Detail Record Postgres logging engine (cdr_pgsql) que permitiría a un atacante inyectar secuencias SQL, lo que podría permitirle el compromiso de la aplicación, acceder o modificar los datos, o explotar otro tipo de vulnerabilidades en la base de datos. Se recomienda actualizar a Asterisk 1.4.15 o superior.

Más información:
Asterisk Project Security Advisory – AST-2007-026 SQL Injection issue in cdr_pgsql http://downloads.digium.com/pub/asa/AST-2007-026.html

Autor: Laboratorio Hispasec
laboratorio@hispasec.com

Articulo Original –> http://www.hispasec.com/unaaldia/3328/

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s