Ubuntu 16.04 LTS / 18.04 LTSPJSIP の脆弱性USN-8122-1
critical Nessus プラグイン ID 303754
Language:
概要
リモートの Ubuntu ホストに適用されていないセキュリティ更新が 1 つ以上あります。説明
リモートの Ubuntu 16.04 LTS / 18.04 LTS ホストには、USN-8122-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。Youngsung Kim 氏は、PJSIP が SIP メッセージの数値ヘッダーフィールドを適切に解析しなかったことを発見しました。リモートの攻撃者がこの問題を悪用してPJSIPをクラッシュさせ、サービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。この問題の影響を受けるのは、Ubuntu 16.04 LTS のみです。(CVE-2017-16872)
Peter Koletzki 氏は、PJSIP が特定の接続リクエストを適切に処理していないことを発見しました。リモートの攻撃者がこの問題を悪用して、PJSIPを回復できない状態へと引き起こし、追加の接続を拒否させて、サービス拒否を引き起こす可能性があります。この問題の影響を受けるのは、Ubuntu 16.04 LTS のみです。(CVE-2017-16875)
Alfred Farrugia氏、Sandro Gauci氏、Kevin Harwell氏は、PJSIPが特定のSDPメッセージを適切に解析しないことを発見しました。リモートの攻撃者がこの問題を悪用してPJSIPをクラッシュさせ、サービス拒否を引き起こす可能性があります。この問題の影響を受けるのは、Ubuntu 16.04 LTS のみです。(CVE-2018-1000098、CVE-2018-1000099)
Lauri Vnsk 氏は、TLS 接続を再利用する際に PJSIP によってホスト名が検証されないことを発見しました。リモートの攻撃者が通信を傍受できる場合、この欠陥を悪用して秘密情報を表示する可能性があります。CVE-2020-15260
PJSIP が SDP メッセージの特定のシーケンスを適切に処理しないことが判明しました。リモートの攻撃者がこの問題を悪用してPJSIPをクラッシュさせ、サービス拒否を引き起こす可能性があります。CVE-2021-21375
PJSIPのSSLソケット実装に競合状態が含まれていることがわかりました。リモートの攻撃者がこの問題を悪用してPJSIPをクラッシュさせ、サービス拒否を引き起こす可能性があります。この問題は Ubuntu 18.04 LTS のみで対処されました。(CVE-2021-32686)
PJSIP が特定の STUN メッセージを適切に解析していないことが判明しました。リモートの攻撃者がこの問題を悪用してPJSIPをクラッシュさせ、サービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。
(CVE-2021-37706)
Uriya Yavnieli 氏は、PJSIP が特定の状況下でメモリを適切に管理しないことを発見しました。リモートの攻撃者がこの問題を悪用してPJSIPをクラッシュさせ、サービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。CVE-2021-43299、 CVE-2021-43300、 CVE-2021-43301、 CVE-2021-43302、 CVE-2021-43303]
ICEセッション認証情報を処理するとき、PJSIPがメモリを適切に管理しないことがわかりました。リモートの攻撃者がこの問題を悪用してPJSIPをクラッシュさせ、サービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。CVE-2026-25994
Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 303754
ファイル名: ubuntu_USN-8122-1.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2026/3/25
更新日: 2026/3/25
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 7.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2021-37706
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2026-25994
CVSS v4
リスクファクター: Critical
Base Score: 9.3
Threat Score: 8.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS スコアのソース: CVE-2026-25994
脆弱性情報
CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libpj2, p-cpe:/a:canonical:ubuntu_linux:libpjlib-util2, p-cpe:/a:canonical:ubuntu_linux:libpjmedia-audiodev2, p-cpe:/a:canonical:ubuntu_linux:libpjmedia-videodev2, p-cpe:/a:canonical:ubuntu_linux:libpjnath2, p-cpe:/a:canonical:ubuntu_linux:libpjsip-simple2, p-cpe:/a:canonical:ubuntu_linux:libpjsua2, p-cpe:/a:canonical:ubuntu_linux:libpjsua2-2v5, p-cpe:/a:canonical:ubuntu_linux:python-pjproject, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libpjmedia-codec2, p-cpe:/a:canonical:ubuntu_linux:libpjmedia2, p-cpe:/a:canonical:ubuntu_linux:libpjproject-dev, p-cpe:/a:canonical:ubuntu_linux:libpjsip-ua2, p-cpe:/a:canonical:ubuntu_linux:libpjsip2
必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/3/24
脆弱性公開日: 2017/11/17
参照情報
CVE: CVE-2017-16872, CVE-2017-16875, CVE-2018-1000098, CVE-2018-1000099, CVE-2020-15260, CVE-2021-21375, CVE-2021-32686, CVE-2021-37706, CVE-2021-43299, CVE-2021-43300, CVE-2021-43301, CVE-2021-43302, CVE-2021-43303, CVE-2026-25994
USN: 8122-1