Die Sicherheitsforscher von JFrog haben kürzlich 5 Sicherheitslücken in PJSIP entdeckt, einer weit verbreiteten Open-Source Multimedia-Kommunikationsbibliothek, die von Teluu entwickelt wurde. Durch die Ausnutzung dieser neu entdeckten Schwachstellen kann ein Angreifer die Ausführung von beliebigem Code in der Anwendung, die die PJSIP-Bibliothek verwendet, verursachen. JFrog Security hat diese kritischen Schwachstellen offengelegt und mit den PJSIP-Maintainern zusammengearbeitet, um die Behebung dieser gemeldeten Sicherheitslücken zu gewährleisten.
Wofür wird die PJSIP-Bibliothek verwendet?
PJSIP stellt eine API (Application Programming Interface) bereit, die von IP-Telefonieanwendungen wie VoIP-Telefonen und Konferenzanwendungen verwendet werden kann. Sie wird heute von den weltweit beliebtesten Kommunikationsanwendungen wie WhatsApp und BlueJeans verwendet. PJSIP wird auch von Asterisk verwendet, der allgegenwärtigen Open-Source-Telefonie-Implementierung (PBX/Private Branch Exchange).
Die aufgedeckten PJSIP-Sicherheitslücken
- CVE-2021-43299 (CVSS Score: 8.1): Stack Overflow in der PJSUA-API beim Aufruf von pjsua_player_create
- CVE-2021-43300 (CVSS Score: 8.1): Stack Overflow in der PJSUA-API beim Aufruf von pjsua_recorder_create
- CVE-2021-43301 (CVSS Score: 8.1): Stack Overflow in der PJSUA-API beim Aufruf von pjsua_playlist_create
- CVE-2021-43302 (CVSS Score: 5.9): Read Out-of-Bounds in der PJSUA-API beim Aufruf von pjsua_recorder_create
- CVE-2021-43303 (CVSS Score: 5.9): Buffer Overflow in der PJSUA-API beim Aufruf von pjsua_call_dump
Wer ist von den Schwachstellen betroffen?
Alle Projekte, die die PJSIP-Bibliothek vor Version 2.12 verwenden und von Angreifern kontrollierte Parameter an eine der genannten APIs übergeben, sind anfällig. Dies bedeutet, dass die Ausnutzung kontextabhängig ist – eine Anwendung muss die PJSIP-Bibliothek auf eine bestimmte Art und Weise verwenden, um angreifbar zu sein, nämlich durch den Aufruf der oben genannten APIs und die Übergabe von externen Eingaben an bestimmte Argumente von diesen APIs.
Das Security Research Team von JFrog hat die Schwachstellen innerhalb der Bibliothek aufgedeckt und stellt daher nicht die explizite Behauptung auf, dass eine bestimmte Anwendung angreifbar ist (da keine spezifischen Anwendungen untersucht wurden) – dies schließt die im vorherigen Abschnitt erwähnten Anwendungen ein, die nicht untersucht wurden (WhatsApp, BlueJeans und Asterisk).
Behebung der Sicherheitslücken
Um diese Schwachstellen vollständig zu beheben, empfehlen die Sicherheitsforscher ein Upgrade von PJSIP auf Version 2.12. Die Details zur Untersuchung der PJSIP-Sicherheitslücken finden Sie in diesem Blog.
Zusätzlich zur Aufdeckung neuer Sicherheitslücken und Bedrohungen bietet JFrog Entwicklern und Sicherheitsteams einen einfachen Zugang zu den neuesten relevanten Informationen für ihre Software – einschließlich der Verwendung von PJSIP Open-Source-Bibliotheksversionen und zugehörigen CVEs – durch automatisches Sicherheitsscannen mit dem JFrog Xray SCA-Werkzeug.