Vulnerabilidad en PJSIP (CVE-2022-23608)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
22/02/2022
Última modificación:
04/11/2025
Descripción
PJSIP es una biblioteca de comunicación multimedia gratuita y de código abierto escrita en lenguaje C que implementa protocolos basados en estándares como SIP, SDP, RTP, STUN, TURN e ICE. En las versiones hasta la versión 2.11.1 inclusive, cuando se encuentra en un escenario de conjunto de diálogos (o bifurcación), una clave hash compartida por varios diálogos de UAC puede potencialmente liberarse prematuramente cuando se destruye uno de los diálogos. El problema puede hacer que un conjunto de diálogos se registre en la tabla hash varias veces (con diferentes claves hash), lo que lleva a un comportamiento indefinido, como la colisión de la lista de diálogos, lo que eventualmente conduce a un bucle sin fin. Hay un parche disponible en la confirmación db3235953baa56d2fb0e276ca510fefca751643f que se incluirá en la próxima versión. No hay soluciones alternativas conocidas para este problema
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:teluu:pjsip:*:*:*:*:*:*:*:* | 2.11.1 (incluyendo) | |
| cpe:2.3:a:asterisk:certified_asterisk:*:*:*:*:*:*:*:* | 16.8.0 (excluyendo) | |
| cpe:2.3:a:asterisk:certified_asterisk:16.8.0:cert1:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:certified_asterisk:16.8.0:cert10:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:certified_asterisk:16.8.0:cert11:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:certified_asterisk:16.8.0:cert12:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:certified_asterisk:16.8.0:cert2:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:certified_asterisk:16.8.0:cert3:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:certified_asterisk:16.8.0:cert4:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:certified_asterisk:16.8.0:cert5:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:certified_asterisk:16.8.0:cert6:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:certified_asterisk:16.8.0:cert7:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:certified_asterisk:16.8.0:cert8:*:*:*:*:*:* | ||
| cpe:2.3:a:asterisk:certified_asterisk:16.8.0:cert9:*:*:*:*:*:* | ||
| cpe:2.3:a:sangoma:asterisk:*:*:*:*:*:*:*:* | 16.0.0 (incluyendo) | 16.24.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/166226/Asterisk-Project-Security-Advisory-AST-2022-005.html
- http://seclists.org/fulldisclosure/2022/Mar/1
- https://github.com/pjsip/pjproject/commit/db3235953baa56d2fb0e276ca510fefca751643f
- https://github.com/pjsip/pjproject/security/advisories/GHSA-ffff-m5fm-qm62
- https://lists.debian.org/debian-lts-announce/2022/03/msg00035.html
- https://lists.debian.org/debian-lts-announce/2022/03/msg00040.html
- https://lists.debian.org/debian-lts-announce/2022/11/msg00021.html
- https://lists.debian.org/debian-lts-announce/2023/08/msg00038.html
- https://security.gentoo.org/glsa/202210-37
- https://www.debian.org/security/2022/dsa-5285
- http://packetstormsecurity.com/files/166226/Asterisk-Project-Security-Advisory-AST-2022-005.html
- http://seclists.org/fulldisclosure/2022/Mar/1
- https://github.com/pjsip/pjproject/commit/db3235953baa56d2fb0e276ca510fefca751643f
- https://github.com/pjsip/pjproject/security/advisories/GHSA-ffff-m5fm-qm62
- https://lists.debian.org/debian-lts-announce/2022/03/msg00035.html
- https://lists.debian.org/debian-lts-announce/2022/03/msg00040.html
- https://lists.debian.org/debian-lts-announce/2022/11/msg00021.html
- https://lists.debian.org/debian-lts-announce/2023/08/msg00038.html
- https://lists.debian.org/debian-lts-announce/2024/09/msg00030.html
- https://security.gentoo.org/glsa/202210-37
- https://www.debian.org/security/2022/dsa-5285