Уязвимость BDU:2022-01086

Идентификатор: BDU:2022-01086.

Наименование уязвимости: Уязвимость мультимедийной коммуникационной библиотеки PJSIP, связанная с целочисленной потерей значимости, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость мультимедийной коммуникационной библиотеки PJSIP связана с целочисленной потерей значимости при обработке сообщения STUN с атрибутом ERROR-CODE. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем PJSIP до 2.11.1 включительно | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.10 |

Наименование ОС и тип аппаратной платформы: ОСОН ОСнова Оnyx до 210 |
Дата выявления: 10.08.2021.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/pjsip/pjproject/commit/15663e3f37091069b8c98a7fce680dc04bc8e865
https://github.com/pjsip/pjproject/security/advisories/GHSA-2qpg-f6wf-w984

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения asterisk до версии 1:18.14.0~dfsg+~cs6.12.40431414-1really16.28.0~dfsg-0+deb10u4.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-37706.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/pjsip/pjproject/commit/15663e3f37091069b8c98a7fce680dc04bc8e865
https://github.com/pjsip/pjproject/security/advisories/GHSA-2qpg-f6wf-w984
https://vuldb.com/ru/?id.188899
https://nvd.nist.gov/vuln/detail/CVE-2021-37706
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.10/