Debians sikkerhedsbulletin

DSA-4829-1 coturn -- sikkerhedsopdatering

Rapporteret den:
11. jan 2021
Berørte pakker:
coturn
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2020-26262.
Yderligere oplysninger:

En fejl blev opdaget i coturn, en TURN- og STUN-server til VoIP. Som standard tillader coturn ikke peers på loopbackadresser (127.x.x.x og ::1). En fjernangriber kunne omgå beskyttelsen gennem en særligt fremstillet forespørgsel, som anvender peeradressen 0.0.0.0 og narrer coturn til at relay'e til loopbackgrænsefladen. Hvis der lyttes på IPv6, er loopbackgrænsefladen også tilgængelig ved at anvende enten [::1] eller [::] som adressen.

I den stabile distribution (buster), er dette problem rettet i version 4.5.1.1-1.1+deb10u2.

Vi anbefaler at du opgraderer dine coturn-pakker.

For detaljeret sikkerhedsstatus vedrørende coturn, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/coturn