目前世界上最流行的一些通信应用程序都使用了一个充满了安全漏洞的开源库。 这个开源的、含有大量漏洞的库与12月爆发的Apache Log4J日志库漏洞都有一个共同点:他们被各个行业广泛使用。 这个PJSIP库,是一个开源的多媒体通信库,Asterisk程序一直在使用它进行开发。Asterisk是一个企业级的、开源的PBX(专用分支交换机)工具包,在大量的工程中用于IP语音(VoIP)服务。 据Asterisk网站称,该软件每年被下载超过200万次,在170个国家的将近100万台服务器上运行。Asterisk为IP PBX系统、VoIP网关和会议服务器提供支持,它也被大量中小企业、呼叫中心、运营商和政府所使用。 周一,开发平台提供商JFrog Security披露了PJSIP的五个内存泄露漏洞。PJSIP提供了一个API,该API可以被IP电话和会议应用等IP电话应用使用。 JFrog研究人员解释说,攻击者成功利用这些漏洞后,可以在使用PJSIP库的应用程序中打开远程代码执行(RCE)的开关。 在Jfrog进行披露之后,PJSIP的维护者已经修复了这五个CVE漏洞,如下图所示。 漏洞产生的原因 在其分析报告中,JFrog研究人员解释说,PJSIP框架提供了一个名为PJSUA的库,该库为SIP应用提供了一个API。他们说, PJSUA提供了丰富的媒体处理API,我们在那里发现了五个漏洞。其中的三个漏洞是堆栈溢出漏洞,可导致RCE,它们在CVSS严重性评级表上被评为8.1。其余的两个是PJSUA API中的一个越界读取漏洞和一个缓冲区溢出漏洞,这两个漏洞都可能会导致拒绝服务攻击(DoS),这两个漏洞的CVSS评分为5.9。 含有漏洞的位置 JFrog说,那些使用PJSIP库2.12版之前的项目,如果向以下任何一个API传递攻击者控制的参数,都会受到攻击。 l pjsua_player_create - 文件名参数必须是攻击者可控制的 l pjsua_recorder_create - 文件名参数必须是攻击者可控制的 l pjsua_playlist_create - 文件名参数必须是攻击者可以控制的 l pjsua_call_dump - 缓冲区参数容量必须小于128字节 JFrog建议将PJSIP升级到2.12版本来解决这些漏洞。 这不是第一次爆发漏洞 P
DDOS CC WAF NGINX CDN DNS CDH Python Go JAVA