成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

Linphone SIP堆棧錯誤可允許攻擊者遠程使客戶端設(shè)備崩潰

liuchengxu / 2656人閱讀

摘要:安全漏洞為網(wǎng)絡(luò)系統(tǒng)帶來極大的威脅及隱患,而的網(wǎng)絡(luò)安全事件和安全漏洞相關(guān)。根據(jù)國家信息安全漏洞共享平臺統(tǒng)計,軟件漏洞比例最高占全部網(wǎng)絡(luò)漏洞的,因此減少軟件漏洞能有效降低網(wǎng)絡(luò)安全風(fēng)險,加強網(wǎng)絡(luò)抵御惡意軟件攻擊的能力。

周二,網(wǎng)絡(luò)安全研究人員披露了Linphone 會話啟動協(xié)議 ( SIP ) 堆棧中零點擊安全漏洞的詳細信息,該漏洞可被遠程利用,受害者無需采取任何行動即可使SIP客戶端崩潰并導(dǎo)致拒絕服務(wù)(DoS)條件。

跟蹤為CVE-2021-33056(CVSS 評分:7.5),該問題涉及“belle-sip”組件中的空指針解引用漏洞,該組件是一個用于實現(xiàn)SIP傳輸、事務(wù)和對話層的C語言庫,4.5.20之前的所有版本都受到該漏洞的影響。工業(yè)網(wǎng)絡(luò)安全公司Claroty發(fā)現(xiàn)并報告了這一漏洞。

Linphone是一個開源的跨平臺SIP客戶端,支持語音和視頻通話、端到端加密消息傳遞和音頻電話會議等。另一方面,SIP是一種信令協(xié)議,用于發(fā)起、維護和終止互聯(lián)網(wǎng)上的語音、視頻和消息傳遞應(yīng)用程序的實時多媒體通信會話。

為此,可以通過向SIP消息標(biāo)頭如:To(呼叫接收者)、From(呼叫發(fā)起者)或Diversion(重定向目標(biāo)端點)中添加惡意正斜杠 ("

Claroty研究員Sharon Brizinov在一篇文章中說:“這里的潛在錯誤是,非SIP URI被接受為有效的SIP報頭值?!币虼?,一個通用URI(比如一個簡單的正斜杠)將被視為SIP URI。這意味著給定的URI將不包含一個有效的SIP方案(方案將為NULL),因此當(dāng)[string]比較函數(shù)使用不存在的方案(NULL)調(diào)用時,將觸發(fā)一個空指針解引用并使SIP客戶端崩潰?!?/p>

值得注意的是,該缺陷也是一個零點擊漏洞,因為只需發(fā)送一個帶有特制From/To/Diversion 標(biāo)頭的INVITE SIP請求,就有可能導(dǎo)致SIP客戶端崩潰。因此,任何使用belle-sip分析SIP消息的應(yīng)用程序在收到惡意SIP“呼叫”時都將無法使用。

盡管補丁可用于核心協(xié)議棧,但在其產(chǎn)品中依賴受影響的SIP棧的供應(yīng)商必須將更新應(yīng)用到下游。

Brizinov表示,針對物聯(lián)網(wǎng)漏洞的成功利用表明它們可以為企業(yè)網(wǎng)絡(luò)提供有效的立足點,鑒于針對軟件項目中開發(fā)人員使用的眾多其他第三方組件的攻擊所顯示的規(guī)模和范圍,基礎(chǔ)協(xié)議(例如 VoIP電話和應(yīng)用程序中的SIP堆棧)中的缺陷可能會特別麻煩。

安全漏洞為網(wǎng)絡(luò)系統(tǒng)帶來極大的威脅及隱患,而90%的網(wǎng)絡(luò)安全事件和安全漏洞相關(guān)。根據(jù)CNVD(國家信息安全漏洞共享平臺)統(tǒng)計,軟件漏洞比例最高占全部網(wǎng)絡(luò)漏洞的80%,因此減少軟件漏洞能有效降低網(wǎng)絡(luò)安全風(fēng)險,加強網(wǎng)絡(luò)抵御惡意軟件攻擊的能力。尤其超過6成的安全漏洞與代碼有關(guān),在軟件開發(fā)過程中使用安全可信的靜態(tài)代碼檢測工具能檢測出已知漏洞及未知漏洞,及時定位缺陷代碼位置,不但為開發(fā)人員節(jié)省大量查找及修改時間,而且在保證開發(fā)效率的同時提高軟件安全性,降低企業(yè)遭遇網(wǎng)絡(luò)攻擊風(fēng)險。Wukong(悟空)靜態(tài)代碼檢測工具,從源碼開始,為您的軟件安全保駕護航!

參讀鏈接:

www.woocoom.com/b021.html?i…

thehackernews.com/2021/09/lin…

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/119095.html

相關(guān)文章

  • Linphone和MicroSIP軟電話中暴露嚴(yán)重安全漏洞 致黑客遠程攻擊

    摘要:安全漏洞為網(wǎng)絡(luò)系統(tǒng)帶來極大的威脅及隱患,而的網(wǎng)絡(luò)安全事件和安全漏洞相關(guān)。根據(jù)國家信息安全漏洞共享平臺統(tǒng)計,軟件漏洞比例最高占全部網(wǎng)絡(luò)漏洞的,因此減少軟件漏洞能有效降低網(wǎng)絡(luò)安全風(fēng)險,加強網(wǎng)絡(luò)抵御惡意軟件攻擊的能力。 安全人員SySS設(shè)計的攻擊稱為SIP Digest Leak,它涉及向目標(biāo)軟電話發(fā)送SIP INVITE消息以協(xié)商會話,然后發(fā)送需要 407代理身份驗證HTTP響應(yīng)狀態(tài)代碼,...

    Cciradih 評論0 收藏0

  • JavaScript 是如何工作的:WebRTC 和對等網(wǎng)絡(luò)的機制!

    摘要:為了使連接起作用,對等方必須獲取元數(shù)據(jù)的本地媒體條件例如,分辨率和編解碼器功能,并收集應(yīng)用程序主機的可能網(wǎng)絡(luò)地址,用于來回傳遞這些關(guān)鍵信息的信令機制并未內(nèi)置到中。所有特定于多媒體的元數(shù)據(jù)都使用協(xié)議傳遞。 這是專門探索 JavaScript 及其所構(gòu)建的組件的系列文章的第 18 篇。 想閱讀更多優(yōu)質(zhì)文章請猛戳GitHub博客,一年百來篇優(yōu)質(zhì)文章等著你! 如果你錯過了前面的章節(jié),可以在這里...

    XBaron 評論0 收藏0

  • WebRTC 及點對點網(wǎng)絡(luò)通信機制

    摘要:本質(zhì)上允許網(wǎng)頁程序創(chuàng)建點對點通信,我們將會在隨后的章節(jié)中進行介紹。信令涉及網(wǎng)絡(luò)檢索和穿透,會話創(chuàng)建及管理,通信安全,媒體功能元數(shù)據(jù)和調(diào)制及錯誤處理。這樣就會完全建立及激活節(jié)點間的網(wǎng)絡(luò)套接字會話。 原文請查閱這里,略有刪減,本文采用知識共享署名 4.0 國際許可協(xié)議共享,BY Troland。 這是 JavaScript 工作原理第十八章。 概述 何為 WebRTC ?首先,字面上已經(jīng)...

    Rango 評論0 收藏0

發(fā)表評論

0條評論

閱讀需要支付1元查看
<