Zephyrnet-logo

Kritieke bugs gerapporteerd in populaire open source PJSIP SIP en mediastack

Datum:

PJSIP SIP en mediastack

Maar liefst vijf beveiligingsproblemen zijn onthuld in de PJSIP open-source multimediacommunicatiebibliotheek die door een aanvaller kunnen worden misbruikt om willekeurige code-uitvoering en denial-of-service (DoS) te activeren in toepassingen die de protocolstack gebruiken.

De zwakke punten waren: geïdentificeerd en gerapporteerd door JFrog's Security Research-team, waarna de projectbeheerders patches uitbrachten (versie 2.12) vorige week op 24 februari 2022.

Automatische GitHub-back-ups

PJSIP is een open source embedded SIP-protocol suite geschreven in C die audio-, video- en instant messaging-functies ondersteunt voor populaire communicatieplatforms zoals WhatsApp en BlueJeans. Het is ook gebruikt by Asterisk, een veelgebruikt schakelsysteem voor private branch exchange (PBX) voor VoIP-netwerken.

"Buffers die in PJSIP worden gebruikt, hebben meestal een beperkte grootte, vooral de buffers die in de stapel zijn toegewezen of door de applicatie worden geleverd, maar op verschillende plaatsen controleren we niet of ons gebruik de groottes kan overschrijden", PJSIP's ontwikkelaar Sauw Ming bekend in een advies dat vorige maand op GitHub werd gepost, een scenario dat kan leiden tot bufferoverlopen.

Gegevensinbreuken voorkomen

De lijst met gebreken is als volgt:

  • CVE-2021-43299 (CVSS score: 8.1) – Stack overflow in PJSUA API bij het aanroepen van pjsua_player_create()
  • CVE-2021-43300 (CVSS score: 8.1) – Stack overflow in PJSUA API bij het aanroepen van pjsua_recorder_create()
  • CVE-2021-43301 (CVSS score: 8.1) – Stack overflow in PJSUA API bij het aanroepen van pjsua_playlist_create()
  • CVE-2021-43302 (CVSS score: 5.9) – Lees out-of-bounds in PJSUA API bij het aanroepen van pjsua_recorder_create()
  • CVE-2021-43303 (CVSS-score: 5.9) – Bufferoverloop in PJSUA API bij het aanroepen van pjsua_call_dump()

Succesvolle exploitatie van de bovengenoemde fouten kan een kwaadwillende actor in staat stellen om door de aanvaller gecontroleerde argumenten door te geven aan een van de kwetsbare API's, wat leidt tot code-uitvoering en een DoS-conditie, zei Uriya Yavnieli, JFrog-onderzoeker die de fouten rapporteerde.

spot_img

Laatste intelligentie

spot_img