Foi descoberta uma vuknerabilidade que pode afetar alguns planos de discagem baseados no Asterisk, o alerta é feito por Olle Johanson, um dos principais mantenedores do código. Abaixo a tradução do alerta distribuido nas listas de email
Amigos Na última semana, Hans Petter Selansky alertou nos de um problema potencial de segurança em todos os releases do Asterisk. De fato ele não involve código, mas uma forma comum de construir os planos de discagem. Se você tem algo como isto no seu Asterisk, você precisa atualizar o seu plano de discagem:
[incoming-from-voip]
exten => _X., 1, dial(SIP/${EXTEN})
Muitos protocolos de VoIP suportam um conjunto de caracteres amplo que pode causar dano no seu plano de discagem. Por causa do conflito entre os caracteres permitidos em um número ou nome chamado em muitos protocolos de VoIP e na maneira que o Asterisk manuseia as variaveis de canal, existe um risco de segurança oculto em muitos planos de discagem baseado no exemplo acima. O risco primário é que usando um caracter & (e comercial) na string discada o usuário possa acessar recursos protegidos. No entanto este caracter não é o único problema, outros caracteres pode causar um comportamento problemático.
Para mais informações acesse:
http://www.voip-forum.com/?p=241&preview=true
