JFrog 披露PJSIP开源多媒体通信库的五个漏洞

图片[1]-JFrog 披露PJSIP开源多媒体通信库的五个漏洞-安全小天地


3月1日,DevOps平台提供商JFrog安全研究团队披露了PJSIP中的五个安全漏洞,攻击者可以利用这些漏洞在运行使用该库的应用程序的设备上执行任意代码,或致使拒绝服务。

PJSIP 是一个用 C 语言编写的开源多媒体通信库,实现了基于标准的协议,如SIP、SDP、RTP、STUN、TURN 和 ICE。它将信令控制协议SIP与丰富的多媒体通信框架及NAT穿越功能结合到可移植的高级API中,几乎适用于现今所有系统,如桌面系统、嵌入式系统、移动手持设备。

PJSIP 支持音频、视频、状态呈现和即时通讯,且具有完善的文档,对开发者比较友好,许多流行的通信应用程序都使用该库。据JFrog 所说,其中包括WhatsApp、BlueJeans和Asterisk。

根据SIP/IPPBX通信平台Asterisk公布的数据,该软件每年下载200万次,并在170个国家的100万台服务器上运行。Asterisk为IP PBX 系统、VoIP 网关和会议服务器提供支持,并被中小企业、呼叫中心、运营商和政府使用。

以下是在PJSIP库中发现的漏洞列表:

图片[2]-JFrog 披露PJSIP开源多媒体通信库的五个漏洞-安全小天地

其中三个漏洞是堆栈溢出漏洞,可能导致远程代码执行。其余两个漏洞是PJSUA API 中的越界读取漏洞和缓冲区溢出漏洞,这两者都可能导致拒绝服务。

"如果被利用,这些漏洞能够让攻击者通过视频通话来破坏使用该库的应用程序,"Cycode的联合创始人兼首席技术官Ronen Slavin指出, "这将触发堆内存溢出,这可能会允许攻击者接管受害者的视频通话帐户。”

JFrog 建议将 PJSIP 升级到 2.12 版本以解决此问题。

资讯来源:JFrog Security


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记

© 版权声明
THE END
喜欢就支持一下吧
点赞6 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容