VoIP交通促进器中的错误可能导致“无法预料的后果”
Coturn是一个为VoIP平台提供动力的开源转向服务器,在发现拒绝服务和内存损坏后发布了软件更新漏洞。
这些缺陷是由Coturn的Web服务器解析帖子请求的方式引起的,可能导致VoIP系beplay体育能用吗统被禁用,或者在最坏的情况下,被攻击者接管。
这些错误是由Cisco Talos Intelligence Group的安全研究人员Aleksandar Nikolic在产品的Web服务器中发现的。beplay体育能用吗博客文章由Talos。
Coturn可以用作通用转向服务器,该服务器通过公司防火墙和企业网络汇集了VoIP流量。其Webbeplay体育能用吗服务器用于管理目的。
内存损坏缺陷(CVE-2020-6061)是高风险(CVSS 7.0)堆溢出漏洞,以通过Coturn Web服务器解析后的帖子请求。beplay体育能用吗
“专门精心设计的HTTP POST请求可能会导致信息泄漏和其他行为不当。”漏洞报告。
“攻击者需要发送HTTPS请求以触发此漏洞。”
塔洛斯说,潜在的威胁行为者通过控制“数据指针会增加多少”来触发漏洞。
它补充说:“此外,内容长度标头控制分配大小。”
“通过对齐这两个,我们可以让wir循环跳过数据缓冲区的实际末端,这将导致大量范围访问。”
塔洛斯说,成功的剥削会导致更多的记忆损坏,访问敏感信息以及“其他无法预料的后果”。
专门精心设计的HTTP POST请求还可以利用中等风险(CVSS 5.9)拒绝服务脆弱性(CVE-2020-6062),导致服务器崩溃和拒绝服务,第二次错误报告来自Talos解释。
“功能strtok_r可以返回无效的如果分裂的左侧为空,则有价值。”塔洛斯说。
“这个无效的指针随后在调用中使用strdup,这将导致无效的指针取消,导致过程崩溃和拒绝服务。”
这两个缺陷都会影响Coturn 4.5.1.1。
根据塔洛斯(Talos)的说法,供应商在2月11日收到了虫子的通知,并于2月17日对其进行了修补。
每日swbeplay2018官网ig已联系Coturn以获取更多信息。