PJSIP — это бесплатная библиотека мультимедийной связи с открытым исходным кодом, написанная на C. Версии 2.16 и ниже содержат уязвимость переполнения буфера на основе кучи в обработчике длины имени анализатора DNS. Это влияет на приложения, использующие встроенный DNS-преобразователь PJSIP, например те, которые настроены с помощью pjsua_config.nameserver или UaConfig.nameserver в PJSUA/PJSUA2.
Это не влияет на пользователей, которые полагаются на преобразователь ОС (например, getaddrinfo()), не настраивая сервер имен, или на тех, кто использует внешний преобразователь через pjsip_resolver_set_ext_resolver(). Эта проблема исправлена в версии 2.17. Для пользователей, которые не могут выполнить обновление, обходной путь — отключить разрешение DNS в конфигурации PJSIP (установив nameserver_count равным нулю) или вместо этого использовать реализацию внешнего преобразователя.
Показать оригинальное описание (EN)
PJSIP is a free and open source multimedia communication library written in C. Versions 2.16 and below have a Heap-based Buffer Overflowvulnerability in the DNS parser's name length handler. Thisimpacts applications using PJSIP's built-in DNS resolver, such as those configured with pjsua_config.nameserver or UaConfig.nameserver in PJSUA/PJSUA2. It does not affect users who rely on the OS resolver (e.g., getaddrinfo()) by not configuring a nameserver, or those using an external resolver via pjsip_resolver_set_ext_resolver(). This issue is fixed in version 2.17. For users unable to upgrade, a workaround is to disable DNS resolution in the PJSIP config (by setting nameserver_count to zero) or to use an external resolver implementation instead.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pjsip Pjsip
cpe:2.3:a:pjsip:pjsip:*:*:*:*:*:*:*:*
|
— |
2.17
|