PJSIP 원격코드실행 취약점(CVE-2021-43299, CVE-2021-43300, CVE-2021-43301, CVE-2021-43302, CVE-2021-43303) 주의!

Asterisk PBX 툴킷에서 사용하는 유비쿼터스 오픈 소스 PJSIP 멀티미디어 통신 라이브러리에서 취약점(CVE-2021-43299, CVE-2021-43300, CVE-2021-43301, CVE-2021-43302, CVE-2021-43303 )이 발견되었습니다. 

PJSIP란 표준 프로토콜인 SIP, SDP, RTP, STUN, TURN 및 ICE를 구현한 멀티미디어 통신라이브러리입니다. 

JFrog Security는 PJSIP에 존재하는 5가지 메모리 손상 취약점을 공개했습니다. 
공격자가 해당 취약점을 악용하면 PJSIP라이브러리를 사용하는 애플리케이션에서 원격코드실행 스위치를 켤 수 있습니다. 

공개된 5가지 메모리 손상 취약점은 다음과 같습니다. 

 

CVE-2021-43299 - 스택오버플로우 취약점
CVE-2021-43300 - 스택오버플로우 취약점
CVE-2021-43301 - 스택오버플로우 취약점
CVE-2021-43302 - Out of bounds 읽기 취약점
CVE-2021-43303 - 버퍼오버플로우 취약점

 

 

취약한 버전 

 

PJSIP 2.12 이전 버전

 

 

패치방법

 

PJSIP 2.12 버전으로 업데이트

 

 

 

 

참고 : 

https://threatpost.com/rce-bugs-popular-voip-apps-patch-now/178719/