Pjsip Sip Et Pile Multimédia

Jusqu’à cinq vulnérabilités de sécurité ont été révélées dans la bibliothèque de communication multimédia open source PJSIP qui pourraient être exploitées par un attaquant pour déclencher l’exécution de code arbitraire et le déni de service (DoS) dans les applications qui utilisent la pile de protocoles.

Les faiblesses étaient identifié et déclaré par l’équipe de recherche en sécurité de JFrog, après quoi les responsables du projet ont publié des correctifs (version 2.12) la semaine dernière, le 24 février 2022.

Sauvegardes Github Automatiques

PJSIP est un logiciel embarqué open-source Protocole SIP suite écrite en C qui prend en charge les fonctionnalités audio, vidéo et de messagerie instantanée pour les plates-formes de communication populaires telles que Whatsapp et BlueJeans. C’est aussi utilisé par Asterisk, un système de commutation d’autocommutateur privé (PBX) largement utilisé pour les réseaux VoIP.

« Les tampons utilisés dans PJSIP ont généralement des tailles limitées, en particulier celles allouées dans la pile ou fournies par l’application, mais à plusieurs endroits, nous ne vérifions pas si notre utilisation peut dépasser les tailles », a déclaré Sauw Ming, développeur de PJSIP. c’est noté dans un avis publié sur GitHub le mois dernier, un scénario qui pourrait entraîner des débordements de tampon.

Empêcher Les Violations De Données

La liste des défauts est la suivante –

Publicité
  • CVE-2021-43299 (Score CVSS : 8,1) – Débordement de pile dans l’API PJSUA lors de l’appel de pjsua_player_create()
  • CVE-2021-43300 (Score CVSS : 8,1) – Débordement de pile dans l’API PJSUA lors de l’appel de pjsua_recorder_create()
  • CVE-2021-43301 (Score CVSS : 8,1) – Débordement de pile dans l’API PJSUA lors de l’appel de pjsua_playlist_create()
  • CVE-2021-43302 (Score CVSS : 5,9) – Lecture hors limites dans l’API PJSUA lors de l’appel de pjsua_recorder_create()
  • CVE-2021-43303 (Score CVSS : 5,9) – Débordement de tampon dans l’API PJSUA lors de l’appel de pjsua_call_dump()

L’exploitation réussie des failles susmentionnées pourrait permettre à un acteur malveillant de transmettre des arguments contrôlés par l’attaquant à l’une des API vulnérables, conduisant à l’exécution de code et à une condition DoS, a déclaré Uriya Yavnieli, chercheur JFrog qui a signalé les failles.


Rate this post
Publicité
Article précédentAvec 1 phrase, le PDG de Google vient de partager le meilleur plan à ce jour pour retourner au bureau
Article suivantNouvelle bande-annonce de Dragon Ball Super : Super Hero
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici