https://thehackernews.com/2022/03/critical-bugs-reported-in-popular-open.html
PJSIPオープンソースマルチメディア通信ライブラリには5つものセキュリティの脆弱性が公開されており、攻撃者が悪用して、プロトコルスタックを使用するアプリケーションで任意のコードの実行とサービス拒否(DoS)を引き起こす可能性があります。
「PJSIPで使用されるバッファのサイズは通常制限されており、特にスタックに割り当てられているか、アプリケーションによって提供されているものですが、いくつかの場所では、使用量がサイズを超える可能性があるかどうかを確認していません」先月のGitHubは、バッファオーバーフローが発生する可能性のあるシナリオです。
CVE-2021-43299(CVSSスコア:8.1)– pjsuaplayercreate()を呼び出すと、PJSUAAPIのスタックオーバーフローが発生します
前述の欠陥の悪用に成功すると、悪意のある攻撃者が攻撃者が制御する引数を脆弱なAPIのいずれかに渡すことが可能になり、コードの実行とDoS状態が発生する可能性があると、欠陥を報告したJFrogの研究者であるUriyaYavnieli氏は述べています。
人気のあるオープンソースPJSIPSIPおよびメディアスタックで報告された重大なバグ、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント