Bulletin d'alerte Debian

DLA-2962-1 pjproject -- Mise à jour de sécurité pour LTS

Date du rapport :
28 mars 2022
Paquets concernés :
pjproject
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-32686, CVE-2021-37706, CVE-2021-41141, CVE-2021-43299, CVE-2021-43300, CVE-2021-43301, CVE-2021-43302, CVE-2021-43303, CVE-2021-43804, CVE-2021-43845, CVE-2022-21722, CVE-2022-21723, CVE-2022-23608, CVE-2022-24754, CVE-2022-24764.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans pjproject, une bibliothèque de communication multimédia libre et à code source ouvert.

  • CVE-2021-32686

    Situation de compétition entre callback et destroy à cause d'un socket accepté n'ayant pas de verrouillage de bloc. Deuxièmement, le socket SSL parent ou récepteur peut être détruit pendant l'initialisation de connexion. Ces problèmes provoquent un plantage ayant pour conséquence un déni de service.

  • CVE-2021-37706

    Un message STUN entrant contient un attribut ERROR-CODE, la longueur de l'en-tête n'est pas vérifiée avant de réaliser une opération de soustraction, avec pour conséquence éventuellement un scénario de dépassement d'entier par le bas. Ce problème affecte tous les utilisateurs de STUN. Un acteur malveillant situé dans le réseau de la victime peut fabriquer et envoyer un message UDP (STUN) contrefait pour l'occasion qui pourrait exécuter à distance du code arbitraire sur la machine de la victime.

  • CVE-2021-41141

    Dans diverses parties de PJSIP, quand une erreur ou un échec survient, il a été découvert que la fonction se termine sans que les verrous en cours ne soient relâchés. Cela pourrait avoir pour conséquence un blocage du système qui provoque un déni de service pour les utilisateurs.

  • CVE-2021-43299

    Dépassement de pile dans l'API PJSUA lors de l'appel de pjsua_player_create. Un argumentfilename contrôlé par un attaquant peut provoquer un dépassement de tampon dans la mesure où il est copié dans un tampon de pile à taille fixée sans aucune vérification de taille.

  • CVE-2021-43300

    Dépassement de pile dans l'API PJSUA lors de l'appel de pjsua_recorder_create. Un argumentfilename contrôlé par un attaquant peut provoquer un dépassement de tampon dans la mesure où il est copié dans un tampon de pile à taille fixée sans aucune vérification de taille.

  • CVE-2021-43301

    Dépassement de pile dans l'API PJSUA lors de l'appel de pjsua_playlist_create. Un argument file_names contrôlé par un attaquant peut provoquer un dépassement de tampon dans la mesure où il est copié dans un tampon de pile à taille fixée sans aucune vérification de taille.

  • CVE-2021-43302

    Lecture hors limites dans l'API PJSUA lors de l'appel de pjsua_recorder_create. Un argumentfilename contrôlé par un attaquant peut provoquer une lecture hors limites lorsque le nom de fichier a moins de quatre caractères.

  • CVE-2021-43303

    Dépassement de tampon dans l'API PJSUA lors de l'appel de pjsua_call_dump. Un argument buffer contrôlé par un attaquant peut provoquer un dépassement de tampon, dans la mesure où fournir un tampon de sortie de moins de 128 caractères peut déborder le tampon de sortie, quel que soit l'argument maxlen fourni.

  • CVE-2021-43804

    Un message RTCP BYE entrant contient une longueur de raison, cette longueur déclarée n'est pas vérifiée par rapport à la taille réelle du paquet reçu, avec pour conséquence éventuellement un accès en lecture hors limites. Un acteur malveillant peut envoyer un message RTCP BYE avec une longueur de raison non valable.

  • CVE-2021-43845

    Si un message RTCP XR entrant contient un bloc, le champ de données n'est pas vérifié par rapport à la taille du paquet reçu, avec pour conséquence éventuellement un accès en lecture hors limites.

  • CVE-2022-21722

    Il est possible que certains paquets RTP/RTCP entrants provoquent éventuellement un accès en lecture hors limites. Ce problème affecte tous les utilisateurs qui se servent de PJMEDIA et acceptent les paquets RTP ou RTCP entrants.

  • CVE-2022-21723

    L'analyse d'un message SIP entrant qui contient une entité fragmentée mal formée peut provoquer éventuellement un accès en lecture hors limites. Ce problème affecte tous les utilisateurs qui se servent de PJSIP et acceptent les messages SIP multipart.

  • CVE-2022-23608

    Quand, dans un scénario de configuration (ou de fourche) de dialogue, une clé de hachage partagée par de multiples dialogues de contrôle de compte utilisateur (UAC) peut éventuellement être libérée prématurément, alors un des dialogues est détruit. Ce problème peut faire qu'une configuration de dialogue soit enregistrée plusieurs fois dans la table de hachage (avec des clés de hachage différentes) menant à un comportement indéfini tel qu'une collision de liste de dialogues qui mène éventuellement à une boucle infinie.

  • CVE-2022-24754

    Il y a une vulnérabilité de dépassement de tampon de pile qui n'affecte que les utilisateurs de PJSIP qui acceptent les identifiants digest hachés (identifiants avec le data_type « PJSIP_CRED_DATA_DIGEST »).

  • CVE-2022-24764

    Une vulnérabilité de dépassement de tampon de pile qui affecte les utilisateurs de PJSUA2 ou les utilisateurs qui invoquent l'API « pjmedia_sdp_print(), pjmedia_sdp_media_print() ».

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.5.5~dfsg-6+deb9u3.

Nous vous recommandons de mettre à jour vos paquets pjproject.

Pour disposer d'un état détaillé sur la sécurité de pjproject, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/pjproject.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.