双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

關(guān)于RTP協(xié)議實(shí)現(xiàn)存在信息泄露漏洞(RTP Bleed)的安全公告

2017-09-14 09:23:02

安全公告編號(hào):CNTA-2017-0064

近日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了RTP信息泄露漏洞(CNVD-2017-26420,發(fā)現(xiàn)者命名為“RTP Bleed”),攻擊者利用漏洞在不需要中間人身份的情況下,實(shí)現(xiàn)偽造音頻注入,盜取音視頻流或劫持語(yǔ)音通信,構(gòu)成信息泄露和拒絕服務(wù)風(fēng)險(xiǎn)。由于RTP協(xié)議的實(shí)現(xiàn)涉及較為廣泛的中間件或應(yīng)用軟件,有可能造成大規(guī)模的影響。

一、漏洞情況分析

RTP實(shí)時(shí)傳輸協(xié)議(Real-timeTransport Protocol)是一種標(biāo)準(zhǔn)網(wǎng)絡(luò)傳輸協(xié)議,RTP協(xié)議主要實(shí)現(xiàn)在互聯(lián)網(wǎng)上傳遞音頻和視頻的標(biāo)準(zhǔn)數(shù)據(jù)包格式。RTP協(xié)議通常和RTP控制協(xié)議(RTCP)以及音視頻流應(yīng)用協(xié)議(H.323、 SIP)一起使用,廣泛應(yīng)用于流媒體相關(guān)的通訊和娛樂(lè)(如:網(wǎng)絡(luò)電話、視頻會(huì)議、網(wǎng)絡(luò)電視和基于網(wǎng)絡(luò)的一鍵通業(yè)務(wù))。

近期,國(guó)外安全研究公司EnableSecurity的安全研究人員Klaus-Peter Junghanns和Sandro Gauci在測(cè)試中發(fā)現(xiàn)了RTP協(xié)議實(shí)現(xiàn)的信息泄露漏洞,并命名為“RTP Bleed”。RTP Bleed漏洞和RTP協(xié)議的設(shè)計(jì)雖有關(guān)聯(lián),但主要還是存在于RTP 代理(Proxy)的具體實(shí)現(xiàn)上。RTP代理主要通過(guò)在兩個(gè)或多個(gè)參與方之間代理RTP流來(lái)解決影響RTC系統(tǒng)的NAT限制,RTP代理由于不能直接信任流數(shù)據(jù)中的RTP IP和端口信息,而是以“學(xué)習(xí)模式”檢查傳入的RTP流量但又不使用身份驗(yàn)證機(jī)制。這使得攻擊者可以直接接收RTP流媒體數(shù)據(jù),且不需要中間人攻擊條件。除上述攻擊可能外,由于 RTP代理和RTP協(xié)議堆棧在實(shí)現(xiàn)上輕易接受、轉(zhuǎn)發(fā)或處理來(lái)自任何源的RTP包,因此攻擊者可以發(fā)送特定構(gòu)造的RTP數(shù)據(jù)包,注入至RTP流中。以上這兩種攻擊機(jī)制有可能導(dǎo)致流媒體信息泄露、會(huì)話劫持修改和拒絕服務(wù)。例如:攻擊者可以將監(jiān)聽(tīng)正在進(jìn)行的電話呼叫或音視頻會(huì)議。

CNVD對(duì)漏洞的綜合評(píng)級(jí)均為“高危”。

二、漏洞影響范圍

該漏洞影響十分廣泛,可直接影響或間接影響到基于RTP協(xié)議的產(chǎn)品供應(yīng)商或服務(wù)提供商。根據(jù)當(dāng)前測(cè)試結(jié)果,確認(rèn)已知受影響的產(chǎn)品如下:Asterisk14.4.0、TPproxy (tested 1.2.1-2ubuntu1 and RTPproxy2.2.alpha.20160822 (git))。

漏洞命名雖然參考了OpenSSL心臟滴血“HeartBleed”漏洞,但原理不完全相同。HeartBleed是因OpenSSL組件漏洞而泄露內(nèi)存信息,RTPBleed是由于RTP協(xié)議實(shí)現(xiàn)缺陷而導(dǎo)致RTP流數(shù)據(jù)包存在暴露風(fēng)險(xiǎn)。

三、漏洞處置建議

當(dāng)前各方還未給出正式的解決方案,當(dāng)前推薦的臨時(shí)解決方案是建議在各類(lèi)產(chǎn)品和中間件中啟用安全實(shí)時(shí)傳輸協(xié)議(SRTP),可以避免機(jī)密性和完整性不受到影響。SRTP可以與其他技術(shù)措施(例如使用靜態(tài)IPS、支持ICE和STUNauthentication等)相結(jié)合,可以避免對(duì)攻擊途徑的暴露。例如:WebRTC通過(guò)強(qiáng)制使用SRTP協(xié)議,就未受到漏洞的影響。


附:參考鏈接:

https://www.rtpbleed.com/#the-rtp-bleed-bug

https://github.com/kapejod/rtpnatscan

http://www.cnvd.org.cn/flaw/show/CNVD-2017-26420