リモートの Ubuntu 16.04 ESM / 18.04 ESM / 20.04 ESM ホストには、USN-6022-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - 5.0.7 より前の Kamailio および 5.1.4 より前の 5.1.x では、無効な Via ヘッダーのある細工された SIP メッセージにより、セグメンテーション違反が発生し、Kamailio がクラッシュします。原因は、To タグの CRC ハッシュを計算するための crcitt_string_array コア関数に入力検証がないことです。(check_via_address コア関数に追加のエラーが存在します: この関数は、入力検証も見逃します。) サービス拒否および任意コード実行を引き起こす可能性がある入力検証の欠落を修正します。(CVE-2018-16657)

  - 5.5.0 より前の Kamailio SIP サーバーは、重複フィールドと長すぎるタグのある INVITE リクエストを不適切に処理するため、バッファオーバーフローを引き起こし、サーバーをクラッシュさせたり、他の詳細不明な影響を及ぼしたりする可能性があります。
    (CVE-2020-27507)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Ubuntu 16.04 ESM / 18.04 ESM / 20.04 ESM : Kamailio の脆弱性 (USN-6022-1)

critical Nessus プラグイン ID 174344

バージョン 1.1