Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01906

Опубликовано: 01 окт. 2020
Источник: fstec
CVSS3: 7.2
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость веб-сервера Coturn связана с некорректной проверкой вводимых данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным и нарушить их целостность

Вендор

Сообщество свободного программного обеспечения
Fedora Project

Наименование ПО

Debian GNU/Linux
Fedora
Coturn

Версия ПО

9 (Debian GNU/Linux)
10 (Debian GNU/Linux)
32 (Fedora)
33 (Fedora)
до 4.5.2 (Coturn)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 32
Fedora Project Fedora 33

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Coturn:
Обновление программного обеспечения до 4.5.2-2 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета coturn) до 4.5.0.5-1+deb9u3 или более поздней версии
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/G54UIUFTEC6RLPOISMB6FUW7456SBZC4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M4CJOPAQT43MYAFU3UROGLEXN3Z6RS4H/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 56%
0.00336
Низкий

7.2 High

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-26262

CVSS3: 7.2
ubuntu
около 5 лет назад

Coturn is free open source implementation of TURN and STUN Server. Coturn before version 4.5.2 by default does not allow peers to connect and relay packets to loopback addresses in the range of `127.x.x.x`. However, it was observed that when sending a `CONNECT` request with the `XOR-PEER-ADDRESS` value of `0.0.0.0`, a successful response was received and subsequently, `CONNECTIONBIND` also received a successful response. Coturn then is able to relay packets to the loopback interface. Additionally, when coturn is listening on IPv6, which is default, the loopback interface can also be reached by making use of either `[::1]` or `[::]` as the peer address. By using the address `0.0.0.0` as the peer address, a malicious user will be able to relay packets to the loopback interface, unless `--denied-peer-ip=0.0.0.0` (or similar) has been specified. Since the default configuration implies that loopback peers are not allowed, coturn administrators may choose to not set the `denied-peer-ip` s...

nvd логотип

CVE-2020-26262

CVSS3: 7.2
nvd
около 5 лет назад

Coturn is free open source implementation of TURN and STUN Server. Coturn before version 4.5.2 by default does not allow peers to connect and relay packets to loopback addresses in the range of `127.x.x.x`. However, it was observed that when sending a `CONNECT` request with the `XOR-PEER-ADDRESS` value of `0.0.0.0`, a successful response was received and subsequently, `CONNECTIONBIND` also received a successful response. Coturn then is able to relay packets to the loopback interface. Additionally, when coturn is listening on IPv6, which is default, the loopback interface can also be reached by making use of either `[::1]` or `[::]` as the peer address. By using the address `0.0.0.0` as the peer address, a malicious user will be able to relay packets to the loopback interface, unless `--denied-peer-ip=0.0.0.0` (or similar) has been specified. Since the default configuration implies that loopback peers are not allowed, coturn administrators may choose to not set the `denied-peer-ip` sett

debian логотип

CVE-2020-26262

CVSS3: 7.2
debian
около 5 лет назад

Coturn is free open source implementation of TURN and STUN Server. Cot ...

EPSS

Процентиль: 56%
0.00336
Низкий

7.2 High

CVSS3

6.4 Medium

CVSS2