Vulnerabilidad en PJSIP (CVE-2022-39269)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/10/2022
Última modificación:
24/02/2023
Descripción
PJSIP es una librería de comunicación multimedia gratuita y de código abierto escrita en C. Cuando procesa determinados paquetes, PJSIP puede cambiar incorrectamente de usar el transporte de medios SRTP a usar RTP básico al reiniciar SRTP, causando que los medios sean enviados de forma no segura. La vulnerabilidad afecta a todos los usuarios de PJSIP que usan SRTP. El parche está disponible como commit d2acb9a en la rama maestra del proyecto y será incluida en versión 2.13. Se recomienda a usuarios aplicar el parche manualmente o actualizar. No se presentan mitigaciones conocidas para esta vulnerabilidad
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pjsip:pjsip:*:*:*:*:*:*:*:* | 2.11 (incluyendo) | 2.13 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/pjsip/pjproject/commit/d2acb9af4e27b5ba75d658690406cec9c274c5cc
- https://github.com/pjsip/pjproject/security/advisories/GHSA-wx5m-cj97-4wwg
- https://lists.debian.org/debian-lts-announce/2023/02/msg00029.html
- https://security.gentoo.org/glsa/202210-37
- https://www.debian.org/security/2023/dsa-5358