PJSIP 资源管理错误漏洞

admin

0
文章

0
评论

2023-11-30 08:59:01 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 PJSIP 资源管理错误漏洞

CVE编号

CVE-2022-23608

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-02-23

漏洞描述

PJSIP是一个免费和开源的多媒体通信库，用C语言编写，实现基于标准的协议，如SIP, SDP, RTP, STUN, TURN，和ICE。 PJSIP 存在资源管理错误漏洞，该漏洞源于在2.11.1之前的版本中，在对话框集(或分叉)场景中，多个UAC对话框共享的哈希键可能会在其中一个对话框被销毁时提前释放。攻击者可利用该漏洞导致一个对话框集在哈希表中注册多次(使用不同的哈希键)，从而导致未定义的行为，如对话列表冲突，最终导致无尽的循环。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://github.com/pjsip/pjproject/security/advisories/GHSA-ffff-m5fm-qm62

参考链接
http://packetstormsecurity.com/files/166226/Asterisk-Project-Security-Advisor...
http://seclists.org/fulldisclosure/2022/Mar/1
https://github.com/pjsip/pjproject/commit/db3235953baa56d2fb0e276ca510fefca751643f
https://github.com/pjsip/pjproject/security/advisories/GHSA-ffff-m5fm-qm62
https://lists.debian.org/debian-lts-announce/2022/03/msg00035.html
https://lists.debian.org/debian-lts-announce/2022/03/msg00040.html
https://lists.debian.org/debian-lts-announce/2022/11/msg00021.html
https://lists.debian.org/debian-lts-announce/2023/08/msg00038.html
https://security.gentoo.org/glsa/202210-37
https://www.debian.org/security/2022/dsa-5285

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	teluu	pjsip	*		Up to (including) 2.11.1
	运行在以下环境
	系统	alpine_3.16	pjproject	*		Up to (excluding) 2.12-r0
	运行在以下环境
	系统	alpine_3.17	pjproject	*		Up to (excluding) 2.12-r0
	运行在以下环境
	系统	alpine_3.18	pjproject	*		Up to (excluding) 2.12-r0
	运行在以下环境
	系统	alpine_edge	pjproject	*		Up to (excluding) 2.12-r0
	运行在以下环境
	系统	debian_10	asterisk	*		Up to (excluding) 1:16.28.0~dfsg-0+deb10u1
	运行在以下环境
	系统	debian_11	asterisk	*		Up to (excluding) 1:16.28.0~dfsg-0+deb11u1
	运行在以下环境
	系统	debian_12	ring	*		Up to (excluding) 20230206.0~ds1-1
	运行在以下环境
	系统	debian_9	pjproject	*		Up to (excluding) 2.5.5~dfsg-6+deb9u3
	运行在以下环境
	系统	debian_sid	asterisk	*		Up to (excluding) 1:18.10.1~dfsg+~cs6.10.40431411-1
	运行在以下环境
	系统	ubuntu_20.04	ring	*		Up to (excluding) 20190215.1.f152c98~ds1-1+deb10u2build0.20.04.1