Debian DLA-3036-1: pjproject - LTS セキュリティ更新

high Nessus プラグイン ID 161794

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 9 ホストには、dla-3036 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- PJSIP はフリーでオープンソースのマルチメディア通信ライブラリで、C 言語で書かれています。バージョン 2.12以前には、サービス拒否の脆弱性があり、PJSIP の XML 解析をアプリで使用する PJSIP ユーザーに影響を与えます。ユーザーは更新することが推奨されています。既知の回避策はありません。(CVE-2022-24763)

- PJSIP は C で書かれたフリーのオープンソースのマルチメディア通信ライブラリです。サービス拒否の脆弱性は、無効な WAV ファイルの再生/読み取りの前に、PJSIP バージョン 2.12以前を使用する 32 ビットシステムのアプリケーションに影響を与えます。この脆弱性は、31 ビット整数を超える長さの WAV ファイルデータチャンクを読み取るときに発生します。この脆弱性は 64 ビットのアプリには影響せず、信頼できる WAV ファイルのみを再生するアプリには影響しません。パッチが「pjsip/project」GitHub リポジトリの「master」ブランチで利用可能です。
回避策として、アプリが不明なソースから受信した WAV ファイルを拒否するか、最初にファイルを検証することができます。
(CVE-2022-24792)

- PJSIP は C で書かれたフリーのオープンソースのマルチメディア通信ライブラリです。2.12 以前のバージョンのバッファオーバーフローの脆弱性は、PJSIP DNS 解決を使用するアプリケーションに影響を与えます。外部リゾルバーを利用する PJSIP ユーザーには影響しません。パッチが「pjsip/pjproject」GitHub リポジトリの「master」ブランチで利用可能です。回避策は、PJSIP 構成で DNS 解決を無効にするか (「nameserver_count」をゼロに設定)、代わりに外部リゾルバーを使用することです。(CVE-2022-24793)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

pjprojectパッケージをアップグレードしてください。

Debian 9「Stretch」では、これらの問題はバージョン2.5.5~dfsg-6+deb9u5で修正されています。

関連情報

https://security-tracker.debian.org/tracker/source-package/pjproject

https://www.debian.org/lts/security/2022/dla-3036

https://security-tracker.debian.org/tracker/CVE-2022-24763

https://security-tracker.debian.org/tracker/CVE-2022-24792

https://security-tracker.debian.org/tracker/CVE-2022-24793

https://packages.debian.org/source/stretch/pjproject

プラグインの詳細

深刻度: High

ID: 161794

ファイル名: debian_DLA-3036.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2022/6/2

更新日: 2022/6/2

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.7

ベクトル: AV:N/AC:L/Au:N/C:N/I:N/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2022-24763

CVSS v3

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2022-24793

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:libpj2, p-cpe:/a:debian:debian_linux:libpjlib-util2, p-cpe:/a:debian:debian_linux:libpjmedia-audiodev2, p-cpe:/a:debian:debian_linux:libpjmedia-codec2, p-cpe:/a:debian:debian_linux:libpjmedia-videodev2, p-cpe:/a:debian:debian_linux:libpjmedia2, p-cpe:/a:debian:debian_linux:libpjnath2, p-cpe:/a:debian:debian_linux:libpjproject-dev, p-cpe:/a:debian:debian_linux:libpjsip-simple2, p-cpe:/a:debian:debian_linux:libpjsip-ua2, p-cpe:/a:debian:debian_linux:libpjsip2, p-cpe:/a:debian:debian_linux:libpjsua2, p-cpe:/a:debian:debian_linux:libpjsua2-2v5, p-cpe:/a:debian:debian_linux:python-pjproject, cpe:/o:debian:debian_linux:9.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/6/2

脆弱性公開日: 2022/3/30

参照情報

CVE: CVE-2022-24763, CVE-2022-24792, CVE-2022-24793