esenfrdeitptru

Fallo crítico en librerías PJSIP SIP utilizadas por diferentes proveedores de VOIP

AS-018-2022

Fecha: 04/Mar/2022

Resumen:

Se han descubierto y publicado 5 vulnerabilidades que afectan la librería de comunicación multimedia PJSIP, los fallos permitirían que un atacante pueda ejecutar código de forma remota, o generar un ataque de denegación de servicios.

JFrog del grupo Security descubrió y publicó las vulnerabilidades. Los fabricantes del producto ya han lanzado un parche para solventar el problema reportado.

PJSIP es una implementación libre para el protocolo SIP que soporta audio, video, y mensajes instantáneos. Estas librerías son usadas por proveedores como WhatsApp y BlueJeans. Así como Asterisk, un software PBX para redes VoIP.

La lista de fallos encontrados es:

CVE-2021-43299 (CVSS score: 8.1) – Stack overflow en PJSUA API cuando se llama a la función pjsua_player_create()
CVE-2021-43300 (CVSS score: 8.1) – Stack overflow en PJSUA API cuando se llama a la función pjsua_recorder_create()
CVE-2021-43301 (CVSS score: 8.1) – Stack overflow en PJSUA API cuando se llama a la función pjsua_playlist_create()
CVE-2021-43302 (CVSS score: 5.9) – Read out-of-bounds en PJSUA API cuando se llama a la función pjsua_recorder_create()
CVE-2021-43303 (CVSS score: 5.9) – Buffer overflow en PJSUA API cuando se llama a la función pjsua_call_dump()

Actualice los productos que dependan de las librerías afectadas, conforme los diferentes fabricantes liberen sus productos.


Referencia:

https://thehackernews.com/2022/03/critical-bugs-reported-in-popular-open.html