JFrog 披露PJSIP开源多媒体通信库的五个漏洞

JFrog 披露PJSIP开源多媒体通信库的五个漏洞
2022-3-3 17:59:0 Author: mp.weixin.qq.com(查看原文) 阅读量:26 收藏

编辑：左右里

3月1日，DevOps平台提供商JFrog安全研究团队披露了PJSIP中的五个安全漏洞，攻击者可以利用这些漏洞在运行使用该库的应用程序的设备上执行任意代码，或致使拒绝服务。

PJSIP 是一个用 C 语言编写的开源多媒体通信库，实现了基于标准的协议，如SIP、SDP、RTP、STUN、TURN 和 ICE。它将信令控制协议SIP与丰富的多媒体通信框架及NAT穿越功能结合到可移植的高级API中，几乎适用于现今所有系统，如桌面系统、嵌入式系统、移动手持设备。

PJSIP 支持音频、视频、状态呈现和即时通讯，且具有完善的文档，对开发者比较友好，许多流行的通信应用程序都使用该库。据JFrog 所说，其中包括WhatsApp、BlueJeans和Asterisk。

根据SIP/IPPBX通信平台Asterisk公布的数据，该软件每年下载200万次，并在170个国家的100万台服务器上运行。Asterisk为IP PBX 系统、VoIP 网关和会议服务器提供支持，并被中小企业、呼叫中心、运营商和政府使用。

以下是在PJSIP库中发现的漏洞列表：

其中三个漏洞是堆栈溢出漏洞，可能导致远程代码执行。其余两个漏洞是PJSUA API 中的越界读取漏洞和缓冲区溢出漏洞，这两者都可能导致拒绝服务。

"如果被利用，这些漏洞能够让攻击者通过视频通话来破坏使用该库的应用程序，"Cycode的联合创始人兼首席技术官Ronen Slavin指出， "这将触发堆内存溢出，这可能会允许攻击者接管受害者的视频通话帐户。”

JFrog 建议将 PJSIP 升级到 2.12 版本以解决此问题。

资讯来源：JFrog Security

转载请注明出处和本文链接

每日涨知识

Dom型XSS

客户端的脚本程序可以动态地检查和修改页面内容，而不依赖于服务器端的数据。例如客户端如从URL中提取数据并在本地执行，如果用户在客户端输入的数据包含了恶意的JavaScript脚本，而这些脚本没有经过适当的过滤，那么应用程序就可能受到DOM-based XSS攻击。

推荐文章++++

* 苹果暂停在俄罗斯的所有产品销售，停止出口并限制Apple Pay

* 日本丰田汽车因供应商遭网络攻击被迫停产

* 乌克兰招募黑客志愿军攻击俄罗斯关键机构

* 白宫辟谣：美国不会为了援助乌克兰而对俄罗斯发起大规模网络攻击

* 网站被入侵、攻击，相关企业要负责任吗？

* 全球业务关闭，年收入百亿物流公司Expeditors遭受网络攻击

* 研究人员在Google Play商店发现新的银行木马

﹀

球分享

球点赞

球在看

戳“阅读原文”一起来充电吧！

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458430369&idx=2&sn=8316b5b3da55c5b9dee8f1d596d2aefa&chksm=b18f9b2b86f8123d145ac58a0c868e547925c64238d3163f0889f657fd370833b0e9fc9825da#rd
如有侵权请联系:admin#unsafe.sh