Une vulnérabilité de sécurité a été divulguée dans la pile SIP (Session Initiation Protocol) de Linphone, qui pourrait être exploitée à distance pour faire planter le client SIP et provoquer un déni de service (DoS).

Répertorié sous le nom de CVE-2021-33056 (score CVSS : 7.5), le bug concerne une vulnérabilité de déréférencement de pointeur NULL dans le composant "belle-sip", une bibliothèque en langage C utilisée pour implémenter les couches de transport, de transaction et de dialogue SIP. Toutes les versions antérieures à la version 4.5.20 sont affectées par la faille.

Linphone est un client SIP open-source et multiplateforme qui prend en charge, entre autres, les appels vocaux et vidéo, la messagerie chiffrée de bout en bout et les audioconférences. SIP, quant à lui, est un protocole de signalisation utilisé pour initier, maintenir et terminer des sessions de communication multimédia en temps réel pour des applications vocales, vidéo et de messagerie sur Internet.

À cette fin, la vulnérabilité exploitable à distance peut être activée en ajoutant une barre oblique malveillante ("</") à un en-tête de message SIP, ce qui entraîne un plantage de l'application client SIP qui utilise la bibliothèque belle-sip pour traiter et analyser les messages SIP.

"Le bug sous-jacent a celui-ci est que les URI non-SIP sont acceptés comme des valeurs d'en-tête SIP valides", a déclaré Sharon Brizinov, chercheur chez Claroty, dans un compte rendu. "Par conséquent, un URI générique tel qu'une simple barre oblique sera considéré comme un URI SIP. Cela signifie que l'URI donné ne contiendra pas de schéma SIP valide (le schéma sera NULL), et donc lorsque la fonction [string] compare est appelée avec le schéma inexistant (NULL), un déréférencement de pointeur Null sera déclenché et fera planter le client SIP."

Bien que les correctifs soient disponibles pour la pile de protocole de base, il est essentiel que les mises à jour soient appliquées par les fournisseurs qui utilisent la pile SIP affectée dans leurs produits.