按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

普遍用於各種 VOIP 產品的開源多媒體程式庫 PJSIP,內含 5 個嚴重資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-03-15
  • 點閱次數:3801
普遍用於各種 VOIP 產品的開源多媒體程式庫 PJSIP,內含 5 個嚴重資安漏洞 TWCERT/CC

資安廠商 JFrog 日前發表研究報告,指出該公司發現經常用於各種 VOIP 服務的開源程式庫 PJSIP 多媒體溝通程式庫,內含 5 個嚴重資安漏洞,可能導致駭侵者遠端執行任意程式碼。

在使用 PJSIP 程式庫的 VOIP 開源軟體中,最著名的就是 Asterisk;有許多企業級的 VOIP 軟體或服務,都使用 Asterisk 的開源 PBX(Private Branch Exchange)工具,數量十分龐大。

根據 Asterisk 的官方網站, Asterisk PBX Toolkit 的下載次數高達每年 200 萬次,共在 170 國境內的 100 萬台伺服器上執行;用戶包括各國公家機關、話務中心、大型企業與中小企業等,甚為廣泛。

在這 5 個漏洞中,有 3 個漏洞屬於遠端執行任意程式碼漏洞,主要是在電話呼叫過程中誘發 PJSUA API 中的錯誤,以造成堆疊溢位;另 2 個漏洞分別是在電話呼叫過程中誘發 PJSUA API 的資料越界讀取與緩衝區溢位錯誤,可以用來發動分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)。

JFrog 的資安研究團隊,在發現這 5 個漏洞後,立刻向 PJSIP 的開發者提報漏洞;目前 PJSIP 已在最新版本的 2.12 版中予以修復;各個使用內含 Asterisk VOIP 解決方案的系統管理者,應立即將系統內使用的 PJSIP 程式庫升級到最新的 2.12 或後續版本,以修補這 5 個漏洞。

  • CVE編號:CVE-2021-43299、CVE-2021-43300、CVE-2021-43301、CVE-2021-43302、CVE-2021-43303
  • 影響產品(版本):PJSIP 2.12 之前版本
  • 解決方案:升級至 PJSIP 2.12 與後續版本
回頁首