Se ha anunciado la existencia de una vulnerabilidad de inyección de código en Asterisk que podría llegar a permitir el compromiso de la aplicación.Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP. Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más. Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.El fallo se debe a una insuficiente validación de entrada en Call Detail Record Postgres logging engine (cdr_pgsql) que permitiría a un atacante inyectar secuencias SQL, lo que podría permitirle el compromiso de la aplicación, acceder o modificar los datos, o explotar otro tipo de vulnerabilidades en la base de datos. Se recomienda actualizar a Asterisk 1.4.15 o superior.
Más información:
Asterisk Project Security Advisory – AST-2007-026 SQL Injection issue in cdr_pgsql http://downloads.digium.com/pub/asa/AST-2007-026.html
Autor: Laboratorio Hispasec
laboratorio@hispasec.com
Articulo Original –> http://www.hispasec.com/unaaldia/3328/
Inyección SQL en Asterisk