主流VoIP应用中出现RCE问题
发布时间:2022-06-22 14:25:05 所属栏目:安全 来源:互联网
导读:目前世界上最流行的一些通信应用程序都使用了一个充满了安全漏洞的开源库。 这个开源的、含有大量漏洞的库与12月爆发的Apache Log4J日志库漏洞都有一个共同点:他们被各个行业广泛使用。 周一,开发平台提供商JFrog Security披露了PJSIP的五个内存泄露漏洞。
|
目前世界上最流行的一些通信应用程序都使用了一个充满了安全漏洞的开源库。 这个开源的、含有大量漏洞的库与12月爆发的Apache Log4J日志库漏洞都有一个共同点:他们被各个行业广泛使用。 周一,开发平台提供商JFrog Security披露了PJSIP的五个内存泄露漏洞。PJSIP提供了一个API,该API可以被IP电话和会议应用等IP电话应用使用。 JFrog研究人员解释说,攻击者成功利用这些漏洞后,可以在使用PJSIP库的应用程序中打开远程代码执行(RCE)的开关。 在Jfrog进行披露之后,PJSIP的维护者已经修复了这五个CVE漏洞,如下图所示。 含有漏洞的位置 JFrog说,那些使用PJSIP库2.12版之前的项目,如果向以下任何一个API传递攻击者控制的参数,都会受到攻击。 l pjsua_player_create - 文件名参数必须是攻击者可控制的。 l pjsua_recorder_create - 文件名参数必须是攻击者可控制的。 l pjsua_playlist_create - 文件名参数必须是攻击者可以控制的。 l pjsua_call_dump - 缓冲区参数容量必须小于128字节。 JFrog建议将PJSIP升级到2.12版本来解决这些漏洞。 这不是第一次爆发漏洞 PJSIP和其他常见的视频会议软件中出现漏洞并不新鲜。2018年8月,谷歌Project Zero研究员Natalie Silvanovich披露了大量常见的关键漏洞,包括WebRTC(由Chrome、Safari、Firefox、Facebook Messenger、Signal等使用)、PJSIP(同样,在Asterisk的数百万个软件中使用)和苹果的FaceTime专有库。 他写道,Skype、Google Hangouts和WhatsApp等应用程序可以使全球任何地方的两点之间能够进行面对面交流。但从那时起,当需要进行虚拟连接时,这种漏洞的危害性就变得很大,我们最好听从JFrog的建议,尽快对漏洞进行修补。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号