CVE-2024-42491

Versões do Asterisk anteriores às 18.24.3, 20.9.3 e 21.4.3

Versões certificadas do Asterisk anteriores às 18.9-cert12 e 20.7-cert2

O problema está relacionado a erros no envio de solicitações SIP para URIs. Se o Asterisk tentar enviar uma solicitação SIP para uma URI cuja parte do host comece com .1 ou [.1], e o res resolver unbound estiver carregado, o Asterisk irá travar com um SEGV. Isso pode permitir que um invasor remoto cause uma negação de serviço e a interrupção do serviço.

Para versões anteriores à 18.24.3, 20.9.3 e 21.4.3 do Asterisk, atualize para uma das seguintes versões: 18.24.3, 20.9.3 ou 21.4.3.

Para versões anteriores à 18.9-cert12 e 20.7-cert2 do Certified Asterisk, atualize para uma das seguintes versões: certified-18.9-cert12 ou certified-20.7-cert2.

Como solução alternativa temporária, desative res resolver unbound definindo noload = res resolver unbound.so no arquivo modules.conf.

Como alternativa, defina rewrite contact = yes em todos os terminais PJSIP, mas observe que isso pode não ser apropriado para todas as configurações do Asterisk.