Sinologic

Etiqueta: bug

  • Skype tendrá que reescribirse completamente para solucionar un bug

    Skype tendrá que reescribirse completamente para solucionar un bug

    Un bug, que se encuentra en el core de la aplicación y que permite controlar remotamente el equipo de quien ejecuta el cliente parece ser el motivo por el que Microsoft está reescribiendo completamente dicho cliente de VoIP.

    El investigador de seguridad Stefan Kanthak encontró que el módulo de instalación de actualizaciones es vulnerable a la técnica de DLL hijacking que permite a un atacante ejecutar código malicioso en lugar de la librería correcta. Un atacante podría descargar una librería DLL en un directorio accesible por el usuario y renombrarla en una DLL que exista y que pueda ser utilizada por un usuario del sistema.

    El bug que fue encontrado el pasado mes de septiembre supondrá, no solo un parche ni una revisión de código si no una completa re-escritura del core del programa, por lo que, aunque no tenemos noticias sobre cuando podría salir la nueva versión, no esperamos que sea pronto ya que escribir una aplicación como Skype desde cero.

    Más información: http://www.zdnet.com/article/skype-cannot-fix-security-bug-without-a-massive-code-rewrite/

  • Nueva actualización de Asterisk 1.4.27.1 y 1.6.0.9 corrige bugs en el SDP

    AsteriskLogoHacía tiempo que no publicábamos nuevas versiones, quizá un poco por lo tedioso que puede resultar anunciar cada 2 ó 3 semanas nuevas versiones de alguna de las diferentes ramas de Asterisk.

    Al principio era más o menos entretenido, salía una nueva versión cada 3 ó 4 semanas con algunas novedades que eran interesante destacar, uno llevaba prácticamente la cuenta o los apuntes de los cambios que iban sucediendo y las ventajas de una y otra versión a fín de que cuando a algún compañero se encontrase con algún problema, poder acudir a la base de datos de bugs resueltos y comprobar si dicho bug había sido corregido y en qué versión.

    Con la aparición de la rama de Asterisk 1.6, la publicación de nuevas versiones comenzó a volverse un poco para locos, ya no habían únicamente bugs corregidos en las nuevas versiones de Asterisk 1.4, si no que aparecían nuevas que no existían en 1.6.0 pero sí en 1.6.1 (WTF!) que eran corregidas en la re-revisiones posteriores 3 días después con nuevas revisiones y nuevas re-revisiones… en resumen, un caos y tras eso y algún que otro cambio personal, decidimos abandonar el seguimiento de versiones hasta nueva orden o hasta que realmente mereciera la pena (como la publicación de una nueva rama de Asterisk o similar).

    Tras el anuncio de la nueva rama de Asterisk 1.8, nos hemos vuelto a animar a publicar las actualizaciones por lo menos, de las ramas estables, aunque no desarrollemos el contenido y los cambios, sí que pondremos una pequeña nota para que aquellos que seguís Sinologic, esteis alerta.

    En este caso, un error de regresión en el SDP de la 1.4.27 ha hecho que aparezca la versión 1.4.27.1 que corrige este bug.

    Más información sobre este bug: https://issues.asterisk.org/view.php?id=16268
    y el documento oficial de Digium: http://downloads.asterisk.org/pub/security/AST-2009-010.pdf

    Así que, si teneis Asterisk 1.4.27, toca actualizar… 😉

  • Cuidado con los servidores DNS en Asterisk

    Muchas personas, para evitar que su servidor Asterisk se quede bloqueado en el caso en que falle la conexión a Internet, suelen recurrir a diversas técnicas (explicación):

    • Utilizar direcciones IP en lugar de nombres de dominio.
    • Añadir los nombres de dominio que vayan a utilizar en el archivo /etc/hosts.
    • Instalar un servidor DNS en la red local que le sirva de caché y aisle las peticiones de resolución de nombres.

    En muchos casos, la primera opción no es viable, ya que muchos proveedores de servicios IP utilizan el mismo nombre de dominio para realizar round-robin y distribuir la carga entre varios servidores con distinta IP pero el mismo nombre de host.

    Son muchos los que optan por instalar el servidor DNS en el mismo sistema o bien dentro de la red local, pero aquí es donde hay que tener especial cuidado.

    Los servidores DNS son accesibles mediante los puertos 53 UDP y TCP (en algunos casos) y si estos son accesibles desde internet, y los utilizan los sistemas de nuestra red puede ocurrir que seamos vulnerables a diversos exploits e «inyecciones falsas» de registros IP/nombres en la caché DNS lo que puede llevarnos a páginas falsas o incluso a ataques phishing.

    Ahora, con las últimas vulnerabilidades encontradas (y publicadas) en el mismísimo protocolo de DNS son muchos los que se están aprovechando de esto.

    Concretamente, hoy he visto logs de ataques y donde consiguen inyectar direcciones IPs de diferentes páginas (de spam y porno por lo general) en servidores Bind.

    Por suerte, hay técnicas para prohibir el acceso al servidor DNS desde direcciones IPs diferentes a las de la red local, desde el propio servidor Bind o bien desde el maravilloso iptables de Linux.

    Así que… cuidado con los servidores DNS que tengamos instalados, no vayan a darnos alguna sorpresa desagradable. 🙂

  • Asterisk 1.4.21.2 y 1.2.30 Released!

    Empezamos el día con una nueva versión de Asterisk: acaba de ser lanzada 2 nuevas versiones de Asterisk, debido a 2 bugs encontrados en el IAX que han sido gestionados como vulnerabilidades como podeis ver en: AST-2008-010 y AST-2008-011.

    Las nuevas versiones las encontrareis en:
    http://downloads.digium.com/pub/asterisk/

  • Asterisk 1.4.19.2 Released!

    Pese a que está a punto de salir la versión 1.4.20 estable (ya está disponible la versión 1.4.20-rc2), el equipo de desarrolladores de Asterisk acaba de solucionar un importante bug de seguridad en el canal IAX tras lo cual escribieron un parche y este hacía que una llamada sobrecargara el sistema hasta tal punto que Russell Bryant, con un Core 2 Duo a 2.33Ghz era incapaz de manejar 16 canales IAX.

    Tras esto, muy recomendable actualizar, sobre todo si se utiliza el canal IAX.

    Más Información: http://downloads.digium.com/pub/asterisk/ChangeLog-1.4.19.2
    Enlace: http://downloads.digium.com/pub/asterisk/

  • Asterisk 1.4.17 Released!

    Acaban de publicar la version 1.4.17 de Asterisk que soluciona un bug encontrado en el chan_sip que realiza una denegación de servicio en una sesión autentificada o no donde se permita transferencias. (parámetros t o T en el comando Dial).

    La rama 1.2 de Asterisk no tiene este bug.

    Más información:
    http://downloads.digium.com/pub/security/AST-2008-001.pdf    .

    Actualización de Asterisk en:
    http://downloads.digium.com/pub/telephony/asterisk/.

  • Asterisk 1.4.16.1 Released!

    Un bug de IAX2 de última hora ha sido el motivo de esta revisión de última hora que no ha tardado ni una hora en ser arreglado.

    La nueva versión la podeis encontrar donde siempre:
    http://downloads.digium.com/pub/asterisk/asterisk-1.4.16.1.tar.gz