Debian DLA-3036-1:pjproject - LTS 安全更新

high Nessus 插件 ID 161794

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 9 主机上安装的多个程序包受到 dla-3036 公告中提及的多个漏洞影响。

- PJSIP 是一个以 C 语言编写的免费开源多媒体通信库。 2.12 和之前版本中包含的一个漏洞会影响在其应用程序中使用 PJSIP XML 解析的 PJSIP 用户。因此,建议用户进行更新。没有已知的变通方案。(CVE-2022-24763)

- PJSIP 是一个以 C 语言编写的免费开源多媒体通信库。拒绝服务漏洞会影响在 32 位系统上使用 PJSIP 2.12 和之前版本的应用程序,从而播放/读取无效的 WAV 文件。读取长度大于 31 位整数的 WAV 文件数据区块时会发生此漏洞。该漏洞不影响 64 位应用程序,也不应影响仅播放受信任 WAV 文件的应用程序。“pjsip/pjproject”GitHub 存储库的“master”分支上提供补丁。
有一种变通方案是,应用程序可以拒绝从未知来源接收的 WAV 文件,或一开始就验证此类文件。
(CVE-2022-24792)

- PJSIP 是一个以 C 语言编写的免费开源多媒体通信库。2.12 和之前版本中的缓冲区溢出漏洞会影响使用 PJSIP DNS 解析的应用程序。它不会影响使用外部解析器的 PJSIP 用户。“pjsip/pjproject”GitHub 存储库的“master”分支上提供补丁。有一种变通方案是,禁用 PJSIP 配置中的 DNS 解析(通过将“nameserver_count”设置为零)或使用外部解析器。(CVE-2022-24793)

请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

升级 pjproject 程序包。

针对 Debian 9 Stretch,这些问题已在 2.5.5~dfsg-6+deb9u5 版本中解决。

另见

https://security-tracker.debian.org/tracker/source-package/pjproject

https://www.debian.org/lts/security/2022/dla-3036

https://security-tracker.debian.org/tracker/CVE-2022-24763

https://security-tracker.debian.org/tracker/CVE-2022-24792

https://security-tracker.debian.org/tracker/CVE-2022-24793

https://packages.debian.org/source/stretch/pjproject

插件详情

严重性: High

ID: 161794

文件名: debian_DLA-3036.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2022/6/2

最近更新时间: 2022/6/2

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 分数来源: CVE-2022-24763

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2022-24793

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:libpjmedia-codec2, p-cpe:/a:debian:debian_linux:libpj2, p-cpe:/a:debian:debian_linux:python-pjproject, p-cpe:/a:debian:debian_linux:libpjsip-simple2, p-cpe:/a:debian:debian_linux:libpjproject-dev, cpe:/o:debian:debian_linux:9.0, p-cpe:/a:debian:debian_linux:libpjsua2-2v5, p-cpe:/a:debian:debian_linux:libpjlib-util2, p-cpe:/a:debian:debian_linux:libpjmedia-audiodev2, p-cpe:/a:debian:debian_linux:libpjsua2, p-cpe:/a:debian:debian_linux:libpjsip2, p-cpe:/a:debian:debian_linux:libpjmedia-videodev2, p-cpe:/a:debian:debian_linux:libpjmedia2, p-cpe:/a:debian:debian_linux:libpjnath2, p-cpe:/a:debian:debian_linux:libpjsip-ua2

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2022/6/2

漏洞发布日期: 2022/3/30

参考资料信息

CVE: CVE-2022-24763, CVE-2022-24792, CVE-2022-24793