Jusqu’à cinq vulnérabilités de sécurité ont été révélées dans la bibliothèque de communication multimédia open source PJSIP qui pourraient être exploitées par un attaquant pour déclencher l’exécution de code arbitraire et le déni de service (DoS) dans les applications qui utilisent la pile de protocoles.
Les faiblesses étaient identifié et déclaré par l’équipe de recherche en sécurité de JFrog, après quoi les responsables du projet ont publié des correctifs (version 2.12) la semaine dernière, le 24 février 2022.
PJSIP est un logiciel embarqué open-source Protocole SIP suite écrite en C qui prend en charge les fonctionnalités audio, vidéo et de messagerie instantanée pour les plates-formes de communication populaires telles que Whatsapp et BlueJeans. C’est aussi utilisé par Asterisk, un système de commutation d’autocommutateur privé (PBX) largement utilisé pour les réseaux VoIP.
« Les tampons utilisés dans PJSIP ont généralement des tailles limitées, en particulier celles allouées dans la pile ou fournies par l’application, mais à plusieurs endroits, nous ne vérifions pas si notre utilisation peut dépasser les tailles », a déclaré Sauw Ming, développeur de PJSIP. c’est noté dans un avis publié sur GitHub le mois dernier, un scénario qui pourrait entraîner des débordements de tampon.
La liste des défauts est la suivante –
- CVE-2021-43299 (Score CVSS : 8,1) – Débordement de pile dans l’API PJSUA lors de l’appel de pjsua_player_create()
- CVE-2021-43300 (Score CVSS : 8,1) – Débordement de pile dans l’API PJSUA lors de l’appel de pjsua_recorder_create()
- CVE-2021-43301 (Score CVSS : 8,1) – Débordement de pile dans l’API PJSUA lors de l’appel de pjsua_playlist_create()
- CVE-2021-43302 (Score CVSS : 5,9) – Lecture hors limites dans l’API PJSUA lors de l’appel de pjsua_recorder_create()
- CVE-2021-43303 (Score CVSS : 5,9) – Débordement de tampon dans l’API PJSUA lors de l’appel de pjsua_call_dump()
L’exploitation réussie des failles susmentionnées pourrait permettre à un acteur malveillant de transmettre des arguments contrôlés par l’attaquant à l’une des API vulnérables, conduisant à l’exécution de code et à une condition DoS, a déclaré Uriya Yavnieli, chercheur JFrog qui a signalé les failles.