PJSIP est une bibliothèque de communication multimédia libre qui est utilisée dans de nombreux projets. Parmi eux, on trouve notamment Asterisk et WhatsApp. Cinq failles de sécurité rendent ces applications potentiellement vulnérables.

Ce sont des chercheurs en sécurité de JFrog qui ont découvert ces failles. Dans un rapport, ils avertissent qu’en exploitant avec succès trois vulnérabilités (CVE-2021-43299 « élevé« , CVE-2021-43300 « élevé« , CVE-2021-43301 « haut« ) pourraient exécuter du code malveillant sur les systèmes. Si les attaquants s’attaquent à deux autres failles (CVE-2021-43302 « moyen« , CVE-2021-43303 « moyen« ), cela pourrait conduire à des états DoS. Pour lancer des attaques, les attaquants devraient transmettre des arguments à certaines API de la bibliothèque.

WhatsApp est-il concerné ?

Le site Github du projet indique que les développeurs ont modifié l’édition PJSIP 2.12 se sont protégés contre de telles attaques. Il semblerait que toutes les éditions précédentes soient vulnérables. Ceux qui travaillent avec la bibliothèque devraient s’assurer de l’utilisation de la version actuelle.

Dans leur rapport, les chercheurs en sécurité indiquent explicitement qu’ils ont découvert les failles de sécurité uniquement dans PJSIP. Ils n’ont pas examiné les vulnérabilités d’un projet utilisant la bibliothèque. Il n’est donc pas clair si WhatsApp, par exemple, est concerné.