Jusqu’à cinq vulnérabilités de sécurité ont été révélées dans la bibliothèque de communication multimédia open source PJSIP qui pourraient être exploitées par un attaquant pour déclencher l’exécution de code arbitraire et le déni de service (DoS) dans les applications qui utilisent la pile de protocoles.
Les faiblesses ont été identifiées et signalées par l’équipe de recherche en sécurité de JFrog, après quoi les responsables du projet ont publié des correctifs (version 2.12) la semaine dernière, le 24 février 2022.
PJSIP est une suite de protocoles SIP intégrée open source écrite en C qui prend en charge les fonctionnalités audio, vidéo et de messagerie instantanée pour les plates-formes de communication populaires telles que WhatsApp et BlueJeans. Il est également utilisé par Asterisk, un système de commutation d’autocommutateur privé (PBX) largement utilisé pour les réseaux VoIP.
« Les tampons utilisés dans PJSIP ont généralement des tailles limitées, en particulier celles allouées dans la pile ou fournies par l’application, mais à plusieurs endroits, nous ne vérifions pas si notre utilisation peut dépasser les tailles », a noté le développeur de PJSIP, Sauw Ming, dans un avis publié. sur GitHub le mois dernier, un scénario qui pourrait entraîner des débordements de tampon.
La liste des défauts est la suivante –
CVE-2021-43299 (score CVSS : 8,1) – Débordement de pile dans l’API PJSUA lors de l’appel de pjsua_player_create()
CVE-2021-43300 (score CVSS : 8,1) – Débordement de pile dans l’API PJSUA lors de l’appel de pjsua_recorder_create()
CVE-2021-43301 (score CVSS : 8,1) – Débordement de pile dans l’API PJSUA lors de l’appel de pjsua_playlist_create()
CVE-2021-43302 (score CVSS : 5,9) – Lecture hors limites dans l’API PJSUA lors de l’appel de pjsua_recorder_create()
CVE-2021-43303 (score CVSS : 5,9) – Débordement de tampon dans l’API PJSUA lors de l’appel de pjsua_call_dump()
L’exploitation réussie des failles susmentionnées pourrait permettre à un acteur malveillant de transmettre des arguments contrôlés par l’attaquant à l’une des API vulnérables, conduisant à l’exécution de code et à une condition DoS, a déclaré Uriya Yavnieli, chercheur JFrog qui a signalé les failles.