• 發布單位:TWCERT/CC
• 更新日期:2022-03-15
• 點閱次數:3659

資安廠商 JFrog 日前發表研究報告，指出該公司發現經常用於各種 VOIP 服務的開源程式庫 PJSIP 多媒體溝通程式庫，內含 5 個嚴重資安漏洞，可能導致駭侵者遠端執行任意程式碼。

在使用 PJSIP 程式庫的 VOIP 開源軟體中，最著名的就是 Asterisk；有許多企業級的 VOIP 軟體或服務，都使用 Asterisk 的開源 PBX（Private Branch Exchange）工具，數量十分龐大。

根據 Asterisk 的官方網站， Asterisk PBX Toolkit 的下載次數高達每年 200 萬次，共在 170 國境內的 100 萬台伺服器上執行；用戶包括各國公家機關、話務中心、大型企業與中小企業等，甚為廣泛。

在這 5 個漏洞中，有 3 個漏洞屬於遠端執行任意程式碼漏洞，主要是在電話呼叫過程中誘發 PJSUA API 中的錯誤，以造成堆疊溢位；另 2 個漏洞分別是在電話呼叫過程中誘發 PJSUA API 的資料越界讀取與緩衝區溢位錯誤，可以用來發動分散式服務阻斷攻擊（Distributed Denial of Service, DDoS）。

JFrog 的資安研究團隊，在發現這 5 個漏洞後，立刻向 PJSIP 的開發者提報漏洞；目前 PJSIP 已在最新版本的 2.12 版中予以修復；各個使用內含 Asterisk VOIP 解決方案的系統管理者，應立即將系統內使用的 PJSIP 程式庫升級到最新的 2.12 或後續版本，以修補這 5 個漏洞。

• CVE編號：CVE-2021-43299、CVE-2021-43300、CVE-2021-43301、CVE-2021-43302、CVE-2021-43303

• 影響產品(版本)：PJSIP 2.12 之前版本

• 解決方案：升級至 PJSIP 2.12 與後續版本