日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
主流VoIP應(yīng)用中出現(xiàn)RCE漏洞

目前世界上最流行的一些通信應(yīng)用程序都使用了一個(gè)充滿了安全漏洞的開源庫。

曲麻萊網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián)建站,曲麻萊網(wǎng)站設(shè)計(jì)制作,有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為曲麻萊上千多家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)營銷網(wǎng)站建設(shè)要多少錢,請找那個(gè)售后服務(wù)好的曲麻萊做網(wǎng)站的公司定做!

這個(gè)開源的、含有大量漏洞的庫與12月爆發(fā)的Apache Log4J日志庫漏洞都有一個(gè)共同點(diǎn):他們被各個(gè)行業(yè)廣泛使用。

這個(gè)PJSIP庫,是一個(gè)開源的多媒體通信庫,Asterisk程序一直在使用它進(jìn)行開發(fā)。Asterisk是一個(gè)企業(yè)級的、開源的PBX(專用分支交換機(jī))工具包,在大量的工程中用于IP語音(VoIP)服務(wù)。

據(jù)Asterisk網(wǎng)站稱,該軟件每年被下載超過200萬次,在170個(gè)國家的將近100萬臺服務(wù)器上運(yùn)行。Asterisk為IP PBX系統(tǒng)、VoIP網(wǎng)關(guān)和會議服務(wù)器提供支持,它也被大量中小企業(yè)、呼叫中心、運(yùn)營商和政府所使用。

周一,開發(fā)平臺提供商JFrog Security披露了PJSIP的五個(gè)內(nèi)存泄露漏洞。PJSIP提供了一個(gè)API,該API可以被IP電話和會議應(yīng)用等IP電話應(yīng)用使用。

JFrog研究人員解釋說,攻擊者成功利用這些漏洞后,可以在使用PJSIP庫的應(yīng)用程序中打開遠(yuǎn)程代碼執(zhí)行(RCE)的開關(guān)。

在Jfrog進(jìn)行披露之后,PJSIP的維護(hù)者已經(jīng)修復(fù)了這五個(gè)CVE漏洞,如下圖所示。

漏洞產(chǎn)生的原因

在其分析報(bào)告中,JFrog研究人員解釋說,PJSIP框架提供了一個(gè)名為PJSUA的庫,該庫為SIP應(yīng)用提供了一個(gè)API。他們說, PJSUA提供了豐富的媒體處理API,我們在那里發(fā)現(xiàn)了五個(gè)漏洞。其中的三個(gè)漏洞是堆棧溢出漏洞,可導(dǎo)致RCE,它們在CVSS嚴(yán)重性評級表上被評為8.1。其余的兩個(gè)是PJSUA API中的一個(gè)越界讀取漏洞和一個(gè)緩沖區(qū)溢出漏洞,這兩個(gè)漏洞都可能會導(dǎo)致拒絕服務(wù)攻擊(DoS),這兩個(gè)漏洞的CVSS評分為5.9。

含有漏洞的位置

JFrog說,那些使用PJSIP庫2.12版之前的項(xiàng)目,如果向以下任何一個(gè)API傳遞攻擊者控制的參數(shù),都會受到攻擊。

  • l pjsua_player_create - 文件名參數(shù)必須是攻擊者可控制的。
  • l pjsua_recorder_create - 文件名參數(shù)必須是攻擊者可控制的。
  • l pjsua_playlist_create - 文件名參數(shù)必須是攻擊者可以控制的。
  • l pjsua_call_dump - 緩沖區(qū)參數(shù)容量必須小于128字節(jié)。
  • JFrog建議將PJSIP升級到2.12版本來解決這些漏洞。

這不是第一次爆發(fā)漏洞

PJSIP和其他常見的視頻會議軟件中出現(xiàn)漏洞并不新鮮。2018年8月,谷歌Project Zero研究員Natalie Silvanovich披露了大量常見的關(guān)鍵漏洞,包括WebRTC(由Chrome、Safari、Firefox、Facebook Messenger、Signal等使用)、PJSIP(同樣,在Asterisk的數(shù)百萬個(gè)軟件中使用)和蘋果的FaceTime專有庫。

Reason Cybersecurity的研究人員表示,如果這些漏洞被攻擊者利用,那么這些漏洞會讓攻擊者僅僅通過撥打視頻電話,就可以令使用這些組件的應(yīng)用程序崩潰。從而引發(fā)內(nèi)存堆溢出,使得攻擊者能夠接管受害者的視頻通話賬戶。

他寫道,Skype、Google Hangouts和WhatsApp等應(yīng)用程序可以使全球任何地方的兩點(diǎn)之間能夠進(jìn)行面對面交流。但從那時(shí)起,當(dāng)需要進(jìn)行虛擬連接時(shí),這種漏洞的危害性就變得很大,我們最好聽從JFrog的建議,盡快對漏洞進(jìn)行修補(bǔ)。

本文翻譯自:https://threatpost.com/rce-bugs-popular-voip-apps-patch-now/178719/如若轉(zhuǎn)載,請注明原文地址。


網(wǎng)站名稱:主流VoIP應(yīng)用中出現(xiàn)RCE漏洞
分享地址:http://m.5511xx.com/article/cdehdpp.html