B
今週中
PJPROJECT (PJSIP) 2.16 以前のバージョンにおいて、ヒープバッファオーバーフローの脆弱性
📌 一言でいうと
PJPROJECT (PJSIP) 2.16 以前のバージョンにおいて、ヒープバッファオーバーフローの脆弱性が発見されました。この脆弱性は、SDP属性の ice-ufrag フィールドに長い文字列を送信することで、スタックバッファをオーバーフローさせ、リモートでのコード実行やサービス停止を招く可能性があります。修正済みのバージョン 2.17 へのアップデートが推奨されます。
🔍該当判定
- 自社で「PJSIP」または「PJPROJECT」という通信ライブラリを組み込んだソフトを開発・運用している
- 自社で「PJSIP」または「PJPROJECT」のバージョン 2.16 以前を利用している
- IP電話(VoIP)やチャット機能を持つ自社製アプリを Linux (Ubuntu/Debian等) で動作させている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
PJPROJECTを最新バージョン(2.17以降)にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】PJPROJECT (PJSIP) CVE-2026-25994 対応について
お疲れさまです。PJPROJECTの脆弱性に関する情報共有です。
■ 概要
PJPROJECT 2.16 以前において、ICEセッションの処理中にバッファオーバーフローが発生する脆弱性 (CVE-2026-25994) が報告されました。攻撃者が細工したSDPパケットを送信することで、メモリ破壊および任意のコード実行が行われる可能性があります。
■ 影響範囲
- PJPROJECT / PJSIP バージョン 2.16 以前
■ 対応手順
1. 利用しているライブラリのバージョンを確認してください。
2. 脆弱性が修正されたバージョン 2.17 以降へアップデートを適用してください。
■ 参考情報
- Vendor Homepage: https://github.com/pjsip/pjproject
対応優先度: 高
対応期限: 速やかに
お疲れさまです。PJPROJECTの脆弱性に関する情報共有です。
■ 概要
PJPROJECT 2.16 以前において、ICEセッションの処理中にバッファオーバーフローが発生する脆弱性 (CVE-2026-25994) が報告されました。攻撃者が細工したSDPパケットを送信することで、メモリ破壊および任意のコード実行が行われる可能性があります。
■ 影響範囲
- PJPROJECT / PJSIP バージョン 2.16 以前
■ 対応手順
1. 利用しているライブラリのバージョンを確認してください。
2. 脆弱性が修正されたバージョン 2.17 以降へアップデートを適用してください。
■ 参考情報
- Vendor Homepage: https://github.com/pjsip/pjproject
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] PJPROJECT (PJSIP) CVE-2026-25994 Mitigation
Dear IT Administration Team,
We are sharing information regarding a vulnerability in PJPROJECT.
■ Overview
A buffer overflow vulnerability (CVE-2026-25994) has been discovered in PJPROJECT versions 2.16 and earlier. An attacker can trigger a stack overflow by sending a specially crafted SDP attribute (ice-ufrag), potentially leading to remote code execution (RCE) or a crash.
■ Scope
- PJPROJECT / PJSIP versions <= 2.16
■ Mitigation Steps
1. Identify all systems and applications utilizing the PJSIP library.
2. Update the library to version 2.17 or later, where the length check has been implemented.
■ Reference
- Vendor Homepage: https://github.com/pjsip/pjproject
Priority: High
Deadline: Immediate
Dear IT Administration Team,
We are sharing information regarding a vulnerability in PJPROJECT.
■ Overview
A buffer overflow vulnerability (CVE-2026-25994) has been discovered in PJPROJECT versions 2.16 and earlier. An attacker can trigger a stack overflow by sending a specially crafted SDP attribute (ice-ufrag), potentially leading to remote code execution (RCE) or a crash.
■ Scope
- PJPROJECT / PJSIP versions <= 2.16
■ Mitigation Steps
1. Identify all systems and applications utilizing the PJSIP library.
2. Update the library to version 2.17 or later, where the length check has been implemented.
■ Reference
- Vendor Homepage: https://github.com/pjsip/pjproject
Priority: High
Deadline: Immediate