PJSIP — это бесплатная библиотека мультимедийной связи с открытым исходным кодом, написанная на C. До версии 2.17 в распаковщике RTP PJSIP VP9 существовала уязвимость чтения за пределами кучи, которая возникает при анализе созданных данных структуры масштабируемости (SS) VP9. Недостаточная проверка границ длины дескриптора полезной нагрузки может привести к чтению за пределами выделенного буфера полезной нагрузки RTP.
Эта проблема исправлена в версии 2.17. Обходной путь этой проблемы включает отключение кодека VP9, если он не нужен.
Показать оригинальное описание (EN)
PJSIP is a free and open source multimedia communication library written in C. Prior to version 2.17, a heap out-of-bounds read vulnerability exists in PJSIP's VP9 RTP unpacketizer that occurs when parsing crafted VP9 Scalability Structure (SS) data. Insufficient bounds checking on the payload descriptor length may cause reads beyond the allocated RTP payload buffer. This issue has been patched in version 2.17. A workaround for this issue involves disabling VP9 codec if not needed.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Teluu Pjsip
cpe:2.3:a:teluu:pjsip:*:*:*:*:*:*:*:*
|
— |
2.17
|