Рекомендация Debian по безопасности
DSA-4829-1 coturn -- обновление безопасности
- Дата сообщения:
- 11.01.2021
- Затронутые пакеты:
- coturn
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2020-26262.
- Более подробная информация:
-
В coturn, сервере TURN и STUN для VoIP, была обнаружена уязвимость. По умолчанию coturn не разрешает одноранговые узлы на адресах обратной петли (127.x.x.x и ::1). Удалённый злоумышленник может обходить эту защиту с помощью специально сформированного запроса, использующего адрес узла
0.0.0.0
, и заставить coturn отправить ответ на интерфейс обратной петли. Если служба ведёт прослушивание на IPv6, то интерфейс обратной петли может быть доступен при использовании [::1] или [::] в качестве адреса.В стабильном выпуске (buster) эта проблема была исправлена в версии 4.5.1.1-1.1+deb10u2.
Рекомендуется обновить пакеты coturn.
С подробным статусом поддержки безопасности coturn можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/coturn