Рекомендация Debian по безопасности

DSA-4829-1 coturn -- обновление безопасности

Дата сообщения:
11.01.2021
Затронутые пакеты:
coturn
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2020-26262.
Более подробная информация:

В coturn, сервере TURN и STUN для VoIP, была обнаружена уязвимость. По умолчанию coturn не разрешает одноранговые узлы на адресах обратной петли (127.x.x.x и ::1). Удалённый злоумышленник может обходить эту защиту с помощью специально сформированного запроса, использующего адрес узла 0.0.0.0, и заставить coturn отправить ответ на интерфейс обратной петли. Если служба ведёт прослушивание на IPv6, то интерфейс обратной петли может быть доступен при использовании [::1] или [::] в качестве адреса.

В стабильном выпуске (buster) эта проблема была исправлена в версии 4.5.1.1-1.1+deb10u2.

Рекомендуется обновить пакеты coturn.

С подробным статусом поддержки безопасности coturn можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/coturn