Se ha lanzado una actualización de seguridad que subsana múltiples vulnerabilidades en la biblioteca de comunicación multimedia de código abierto PJSIP, que permitirían a un atacante la ejecución remota de código (RCE) y provocar una denegación de servicio (DoS), en aplicaciones que utilizan este conjunto de protocolos.
Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “Crítica”. Estas son, CVE-2021-43299, CVE-2021-43300, CVE-2021-43301, CVE-2021-43302 y CVE-2021-43303. Las mismas se detallan a continuación:
- CVE-2021-43299 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad se debe a un desbordamiento de pila en la API de PJSUA al llamar a la función pjsua_player_create. Un atacante podría aprovechar esta vulnerabilidad (si es que obtiene un argumento ‘filename‘ controlado) para provocar un desbordamiento de búfer.
- CVE-2021-43300 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad se debe a un desbordamiento de pila en la API de PJSUA al llamar a la función pjsua_recorder_create. Un atacante podría aprovechar esta vulnerabilidad (si es que obtiene un argumento ‘filename‘ controlado) para provocar un desbordamiento de búfer, ya que se copia en un búfer de pila de tamaño fijo sin ninguna validación de tamaño.
- CVE-2021-43301 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad se debe a un desbordamiento de pila en la API de PJSUA al llamar a la función pjsua_playlist_create. Un atacante podría aprovechar esta vulnerabilidad (si es que obtiene un argumento ‘filename‘ controlado) para provocar un desbordamiento de búfer, ya que se copia en un búfer de pila de tamaño fijo sin ninguna validación de tamaño.
- CVE-2021-43302 de severidad crítica, con una puntuación de 9.1. Esta vulnerabilidad se debe a que no se verifica la longitud de lectura al comparar las cadenas en la API de PJSUA al llamar a la función pjsua_recorder_create. Un atacante podría aprovechar esta vulnerabilidad (si es que obtiene un argumento ‘filename‘ controlado) para provocar una lectura fuera de los límites cuando el nombre de archivo es inferior a 4 caracteres.
- CVE-2021-43303 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad se debe a un desbordamiento de pila en la API de PJSUA al llamar a pjsua_call_dump (una función que vuelca las estadísticas de llamadas a un búfer determinado). Un atacante podría aprovechar esta vulnerabilidad (si es que obtiene un argumento ‘búfer‘ controlado) para provocar un desbordamiento de búfer, debido a que el suministro de un búfer de salida de menos de 128 caracteres puede desbordar el búfer de salida, independientemente del argumento ‘maxlen‘ (para almacenar las estadísticas temporalmente) suministrado.
Las versiones de PJSIP afectadas son:
- PJSIP versiones anteriores a la versión 2.12.
Recomendamos instalar la actualización correspondiente, en el siguiente enlace:
Adicionalmente, recomendamos que las aplicaciones comprueben la longitud de los parámetros (es decir, los nombres de archivo y el búfer) antes de llamar a las APIs anteriores.
Referencias:
- https://jfrog.com/blog/jfrog-discloses-5-memory-corruption-vulnerabilities-in-pjsip-a-popular-multimedia-library/
- https://thehackernews.com/2022/03/critical-bugs-reported-in-popular-open.html
- https://nvd.nist.gov/vuln/detail/CVE-2021-43299
- https://nvd.nist.gov/vuln/detail/CVE-2021-43300
- https://nvd.nist.gov/vuln/detail/CVE-2021-43301
- https://nvd.nist.gov/vuln/detail/CVE-2021-43302
- https://nvd.nist.gov/vuln/detail/CVE-2021-43303