6-го января 2009 года вышла новая версия Asterisk, а точнее, новые версии Asterisk разных веток, исправляющие критическую, на мой взгляд, уязвимость. Новые версии доступны с сайта Digium:
Суть уязвимости заключается в следующем. При аутентификации входящего звонка тип ответа в случае неправильного пароля отличается от типа ответа в случае, когда пользователя не существует. Это позволяет проводить атаку на IP АТС типа "грубой силы" (brute force), сперва обнаружив существующих пользователей, а затем перебрав их пароли. Безусловно, при достаточно длинном пароле и включенном delayreject=yes подобрать пароль практически невозможно, но кто использует хорошие пароли?
В открытом доступе существует утилита-эксплойт данной уязвимости.
Обновляетесь