In der Open-Source-Multimedia-Kommunikationsbibliothek PJSIP wurden fünf Sicherheitslücken entdeckt, die von Angreifern dazu missbraucht werden könnten, beliebigen Code auszuführen und Denial-of-Service (DoS) in Anwendungen auszulösen, die den Protokollstapel verwenden.
Die Schwachstellen wurden vom Security Research Team von JFrog identifiziert und gemeldet, woraufhin die Projektbetreuer letzte Woche am 24. Februar 2022 Patches (Version 2.12) veröffentlichten.
PJSIP ist eine in C geschriebene Open-Source-SIP-Protokollsuite, die Audio-, Video- und Instant-Messaging-Funktionen für beliebte Kommunikationsplattformen wie WhatsApp und BlueJeans unterstützt. Es wird auch von Asterisk verwendet, einem weit verbreiteten Vermittlungssystem für VoIP-Netzwerke (Private Branch Exchange, PBX).
„Die in PJSIP verwendeten Puffer haben in der Regel eine begrenzte Größe, vor allem die im Stack zugewiesenen oder von der Anwendung bereitgestellten. An einigen Stellen prüfen wir jedoch nicht, ob unsere Nutzung die Größen überschreiten kann“, stellte PJSIP-Entwickler Sauw Ming in einem Advisory fest, das letzten Monat auf GitHub veröffentlicht wurde, ein Szenario, das zu Pufferüberläufen führen kann.
Die Liste der Schwachstellen ist wie folgt
CVE-2021-43299 (CVSS score: 8.1) – Stapelüberlauf in der PJSUA API beim Aufruf von pjsua_player_create()
CVE-2021-43299 (CVSS score: 8.1) – Stapelüberlauf in der PJSUA API beim Aufruf von pjsua_player_create() CVE-2021-43300 (CVSS score: 8.1) – Stapelüberlauf in der PJSUA API beim Aufruf von pjsua_recorder_create()
(CVSS score: 8.1) – Stapelüberlauf in der PJSUA API beim Aufruf von pjsua_recorder_create() CVE-2021-43301 (CVSS score: 8.1) – Stapelüberlauf in der PJSUA API beim Aufruf von pjsua_playlist_create()
(CVSS score: 8.1) – Stapelüberlauf in der PJSUA-API beim Aufruf von pjsua_playlist_create() CVE-2021-43302 (CVSS score: 5.9) – Read out-of-bounds in der PJSUA-API beim Aufruf von pjsua_recorder_create()
CVE-2021-43303 (CVSS score: 5.9) – Pufferüberlauf in der PJSUA API beim Aufruf von pjsua_recorder_create() CVE-2021-43303 (CVSS score: 5.9) – Pufferüberlauf in der PJSUA API beim Aufruf von pjsua_call_dump()
Wenn die oben genannten Schwachstellen erfolgreich ausgenutzt werden, kann ein böswilliger Akteur Argumente unter der Kontrolle eines Angreifers an eine der verwundbaren APIs weitergeben, was zur Ausführung von Code und einer DoS-Bedingung führt, so Uriya Yavnieli, JFrog-Forscher, der die Schwachstellen gemeldet hat.