Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-07479

Опубликовано: 20 дек. 2022
Источник: fstec
CVSS3: 6.5
CVSS2: 6.1
EPSS Низкий

Описание

Уязвимость мультимедиа библиотеки PJSIP связана с граничной ошибкой при декодировании STUN-сообщений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать приложению специально созданное сообщение STUN, вызвать переполнение буфера кучи и выполнить произвольный код в целевой системе

Вендор

ООО «Ред Софт»
ФССП России
Сообщество свободного программного обеспечения
АО "НППКТ"

Наименование ПО

РЕД ОС
ОС ТД АИС ФССП России
PJSIP
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
ИК6 (ОС ТД АИС ФССП России)
до 2.13.1 (PJSIP)
до 2.10 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ФССП России ОС ТД АИС ФССП России ИК6
АО "НППКТ" ОСОН ОСнова Оnyx до 2.10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для PJSIP:
https://github.com/pjsip/pjproject/commit/d8440f4d711a654b511f50f79c0445b26f9dd1e1
https://github.com/pjsip/pjproject/security/advisories/GHSA-9pfh-r8x4-w26w
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения asterisk до версии 1:18.14.0~dfsg+~cs6.12.40431414-1really16.28.0~dfsg-0+deb10u4

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 41%
0.00191
Низкий

6.5 Medium

CVSS3

6.1 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-23537

CVSS3: 6.5
ubuntu
больше 2 лет назад

PJSIP is a free and open source multimedia communication library written in C language implementing standard based protocols such as SIP, SDP, RTP, STUN, TURN, and ICE. Buffer overread is possible when parsing a specially crafted STUN message with unknown attribute. The vulnerability affects applications that uses STUN including PJNATH and PJSUA-LIB. The patch is available as a commit in the master branch (2.13.1).

nvd логотип

CVE-2022-23537

CVSS3: 6.5
nvd
больше 2 лет назад

PJSIP is a free and open source multimedia communication library written in C language implementing standard based protocols such as SIP, SDP, RTP, STUN, TURN, and ICE. Buffer overread is possible when parsing a specially crafted STUN message with unknown attribute. The vulnerability affects applications that uses STUN including PJNATH and PJSUA-LIB. The patch is available as a commit in the master branch (2.13.1).

debian логотип

CVE-2022-23537

CVSS3: 6.5
debian
больше 2 лет назад

PJSIP is a free and open source multimedia communication library writt ...

redos логотип

ROS-20221227-02

CVSS3: 6.5
redos
больше 2 лет назад

Уязвимость pjproject

EPSS

Процентиль: 41%
0.00191
Низкий

6.5 Medium

CVSS3

6.1 Medium

CVSS2