轉載「普遍用於各種 VOIP 產品的開源多媒體程式庫 PJSIP，內含 5 個嚴重資安漏洞」訊息

 【資訊產品漏洞】

💣💣💣普遍用於各種 VOIP 產品的開源多媒體程式庫 PJSIP，內含 5 個嚴重資安漏洞🕳🕳🕳

資安廠商 JFrog 日前發表研究報告，指出該公司發現經常用於各種 VOIP 服務的開源程式庫 PJSIP 多媒體溝通程式庫，內含 5 個嚴重資安漏洞，可能導致駭侵者遠端執行任意程式碼。

在使用 PJSIP 程式庫的 VOIP 開源軟體中，最著名的就是 Asterisk；有許多企業級的 VOIP 軟體或服務，都使用 Asterisk 的開源 PBX（Private Branch Exchange）工具，數量十分龐大。

在這 5 個漏洞中，有 3 個漏洞屬於遠端執行任意程式碼漏洞，主要是在電話呼叫過程中誘發 PJSUA API 中的錯誤，以造成堆疊溢位；另 2 個漏洞分別是在電話呼叫過程中誘發 PJSUA API 的資料越界讀取與緩衝區溢位錯誤，可以用來發動分散式服務阻斷攻擊（Distributed Denial of Service, DDoS）。

• CVE編號：CVE-2021-43299、CVE-2021-43300、CVE-2021-43301、CVE-2021-43302、CVE-2021-43303

• 影響產品(版本)：PJSIP 2.12 之前版本

• 解決方案：升級至 PJSIP 2.12 與後續版本
  

詳細資訊請參考：https://www.twcert.org.tw/tw/cp-104-5877-63126-1.html

資料來源：https://www.twcert.org.tw/tw/lp-104-1.html