普遍用於各種 VOIP 產品的開源多媒體程式庫 PJSIP,內含 5 個嚴重資安漏洞

在使用 PJSIP 程式庫的 VOIP 開源軟體中,最著名的就是 Asterisk;有許多企業級的 VOIP 軟體或服務,都使用 Asterisk 的開源 PBX(Private Branch Exchange)工具,數量十分龐大。
根據 Asterisk 的官方網站, Asterisk PBX Toolkit 的下載次數高達每年 200 萬次,共在 170 國境內的 100 萬台伺服器上執行;用戶包括各國公家機關、話務中心、大型企業與中小企業等,甚為廣泛。
在這 5 個漏洞中,有 3 個漏洞屬於遠端執行任意程式碼漏洞,主要是在電話呼叫過程中誘發 PJSUA API 中的錯誤,以造成堆疊溢位;另 2 個漏洞分別是在電話呼叫過程中誘發 PJSUA API 的資料越界讀取與緩衝區溢位錯誤,可以用來發動分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)。
JFrog 的資安研究團隊,在發現這 5 個漏洞後,立刻向 PJSIP 的開發者提報漏洞;目前 PJSIP 已在最新版本的 2.12 版中予以修復;各個使用內含 Asterisk VOIP 解決方案的系統管理者,應立即將系統內使用的 PJSIP 程式庫升級到最新的 2.12 或後續版本,以修補這 5 個漏洞。

  • CVE編號:CVE-2021-43299、CVE-2021-43300、CVE-2021-43301、CVE-2021-43302、CVE-2021-43303
  • 影響產品(版本):PJSIP 2.12 之前版本
  • 解決方案:升級至 PJSIP 2.12 與後續版本
回到頂端