Debian Biztonsági Figyelmeztetésben

DSA-4829-1 coturn -- biztonsági frissítés

Bejelentés dátuma:
2021. jan. 11.
Érintett csomagok:
coturn
Sebezhető:
Igen
Biztonsági adatbázis hivatkozások:
A Mitre CVE szótárában: CVE-2020-26262.
Bővebb információ:

Biztonsági hibát fedeztek fel a coturn-ban, a VOIP TURN és STUN szerverében. Alapbeállításban a coturn nem engedélyez kapcsolatokat a loopback címen (127.x.x.x és ::1). A távoli támadó megkerülheti a védelmet speciálisan módosított kéréssel, a 0.0.0.0 cím használatával, és kicselezheti a coturn-t, hogy azt loopback interfészre továbbítsa. Ha IPv6-ot használ, a loopback interfészen elérhető a [::1] vagy [::] címen is.

A stabil kiadásban (buster) ez a probléma javításra került a 4.5.1.1-1.1+deb10u2 verzióban.

Azt tanácsoljuk, hogy frissítsd a coturn csomagjaidat.

A coturn részletes biztonsági állapotáért keresd fel a biztonsági nyomkövető oldalát: https://security-tracker.debian.org/tracker/coturn