Ya comentamos hace tiempo que en VoIP Zero Day habían publicado un exploit que provocaba un ataque remoto de denegación de servicio (DoS) en IAX.
Pues al parecer resulta que el autor se ha cansado de que en Digium no le hagan caso y ha decidido publicar ¡otros 9 exploits de denegación de servicio remota para IAX2! Resulta cuanto menos sorprendente ver que la propia compañía que ha conseguido llevar el protocolo IAX hasta un RFC tenga una implementación tan deficiente (aparentemente).
Para los que os apetezca jugar, aquí tenéis todos lo exploits. Sed buenos.
iaxControlRegReqEncryption
iaxControlNewCallingPres
iaxControlNewCallingTns
iaxControlNewCallingTon
iaxControlNewRegReqv
iaxControlNewRRJitter
iaxControlNewRRLoss
iaxControlNewRRPkts
iaxControlNewCalledno
Curiosamente hoy alguien preguntaba en la lista Asterisk-ES a ver qué protocolo era mejor: SIP o IAX. ¿Tengo que responder?
5 Comentarios
Esto de inventar un protocolo y no ser capaz de implementarlo bien en su propio sistema es un poco… vaya.
Sin comentarios… vamos que ultimamente Digium se esta luciendo…
mu wnos, dejan la pobre máquina frita, frita… pero todavía no veo como conseguir llamar por la face con ellos… ;-D
Thanks for the coverage.
I may be speaking at a conference in EU during late aug/early september. Looking forward to putting this research in the archives.
There are more then these now 11 0days. These bugs will never get fixed and IAX is destined for /dev/null
regards@all
Hi! Thanks for comming by! Hope someone sometime taker care of this and IAX gets fixed… oh wait! we do have a cooler working protocol: SIP
1 Trackbacks
[...] en VoIP Zero Day que el descubridor de los tropecientos bugs de IAX2 ha lanzado su fuzzer IAX, con el que descubrió dichos [...]