Aviso de seguridad de Debian

DSA-4711-1 coturn -- actualización de seguridad

Fecha del informe:
29 de jun de 2020
Paquetes afectados:
coturn
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 951876.
En el diccionario CVE de Mitre: CVE-2020-4067, CVE-2020-6061, CVE-2020-6062.
Información adicional:

Se descubrieron varias vulnerabilidades en coturn, un servidor TURN y STUN para VoIP.

  • CVE-2020-4067

    Felix Doerre informó de que el área de memoria de respuesta STUN no se inicializaba correctamente, lo que podía permitir que un atacante filtrara bytes procedentes de la conexión de otro cliente en los bytes de relleno.

  • CVE-2020-6061

    Aleksandar Nikolic informó de que una petición HTTP POST manipulada podía dar lugar a fugas de información y a otros comportamientos anómalos.

  • CVE-2020-6062

    Aleksandar Nikolic informó de que una petición HTTP POST manipulada podía dar lugar a la caída del servidor y a denegación de servicio.

Para la distribución «antigua estable» (stretch), estos problemas se han corregido en la versión 4.5.0.5-1+deb9u2.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 4.5.1.1-1.1+deb10u1.

Le recomendamos que actualice los paquetes de coturn.

Para información detallada sobre el estado de seguridad de coturn, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/coturn