JFrog 披露PJSIP开源多媒体通信库的五个漏洞

编辑：左右里

3月1日，DevOps平台提供商JFrog安全研究团队披露了PJSIP中的五个安全漏洞，攻击者可以利用这些漏洞在运行使用该库的应用程序的设备上执行任意代码，或致使拒绝服务。

PJSIP 是一个用 C 语言编写的开源多媒体通信库，实现了基于标准的协议，如SIP、SDP、RTP、STUN、TURN 和 ICE。它将信令控制协议SIP与丰富的多媒体通信框架及NAT穿越功能结合到可移植的高级API中，几乎适用于现今所有系统，如桌面系统、嵌入式系统、移动手持设备。

PJSIP 支持音频、视频、状态呈现和即时通讯，且具有完善的文档，对开发者比较友好，许多流行的通信应用程序都使用该库。据JFrog 所说，其中包括WhatsApp、BlueJeans和Asterisk。

根据SIP/IPPBX通信平台Asterisk公布的数据，该软件每年下载200万次，并在170个国家的100万台服务器上运行。Asterisk为IP PBX 系统、VoIP 网关和会议服务器提供支持，并被中小企业、呼叫中心、运营商和政府使用。

以下是在PJSIP库中发现的漏洞列表：

其中三个漏洞是堆栈溢出漏洞，可能导致远程代码执行。其余两个漏洞是PJSUA API 中的越界读取漏洞和缓冲区溢出漏洞，这两者都可能导致拒绝服务。

"如果被利用，这些漏洞能够让攻击者通过视频通话来破坏使用该库的应用程序，"Cycode的联合创始人兼首席技术官Ronen Slavin指出， "这将触发堆内存溢出，这可能会允许攻击者接管受害者的视频通话帐户。”

JFrog 建议将 PJSIP 升级到 2.12 版本以解决此问题。

资讯来源：JFrog Security

转载请注明出处和本文链接（https://mp.weixin.qq.com/s/cFOkzvGapbFw2srBL2WnJw）

每日涨知识

Dom型XSS

客户端的脚本程序可以动态地检查和修改页面内容，而不依赖于服务器端的数据。例如客户端如从URL中提取数据并在本地执行，如果用户在客户端输入的数据包含了恶意的JavaScript脚本，而这些脚本没有经过适当的过滤，那么应用程序就可能受到DOM-based XSS攻击。