Múltiples vulnerabilidades en librería PJSIP de Teluu

Fecha de publicación:

03/03/2022

Importancia:

4 - Alta

Recursos afectados:

Cualquier proyecto que utilice la librería PJSIP, con versiones anteriores a la 2.12, y pase argumentos controlados por el atacante a cualquiera de las siguientes API:

pjsua_player_create – filename,
pjsua_recorder_create – filename,
pjsua_playlist_create – file_names,
pjsua_call_dump – buffer.

Descripción:

El equipo de investigación de seguridad de JFrog ha reportado 5 vulnerabilidades, 3 de severidad alta y 2 medias, por las que un atacante podría provocar la ejecución arbitraria de código y una denegación de servicio.

Solución:

Actualizar PJSIP a la versión 2.12.

Detalle:

Se podría producir un desbordamiento de pila en la API de la librería PJSUA al llamar a pjsua_player_create, pjsua_recorder_create, pjsua_playlist_create. Se han asignado los identificadores: CVE-2021-43299, CVE-2021-43300 y CVE-2021-43301 para estas vulnerabilidades.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2021-43302 y CVE-2021-43303.

Referencias:

JFrog Discloses 5 Memory Corruption Vulnerabilities in PJSIP – A Popular Multimedia Library

Etiquetas:

Actualización

Comunicaciones

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en librería PJSIP de Teluu

Vulnerabilidades 0day en chipsets Exynos de Samsung

Múltiples vulnerabilidades en el core de Drupal

Actualización de seguridad de SAP de marzo de 2023

Múltiples vulnerabilidades en productos ClearPass Policy Manager de Aruba

Actualizaciones de seguridad de Microsoft de marzo de 2023