Plattform
linux
Komponente
coturn
Behoben in
4.10.1
CVE-2026-40613 affects Coturn, a widely used open-source implementation of TURN and STUN servers. This vulnerability allows an unauthenticated remote attacker to trigger a Denial of Service (DoS) condition, effectively crashing the server. The issue stems from unsafe memory handling during STUN message parsing on ARM64 architectures. The vulnerability is resolved in version 4.10.0.
CVE-2026-40613 in Coturn betrifft Versionen vor 4.10.0. Es handelt sich um eine Sicherheitslücke im Zusammenhang mit der Verarbeitung von STUN/TURN-Attributen. Insbesondere führen die Attribut-Parsing-Funktionen in Coturn unsichere Pointer-Casts von uint8_t * zu uint16_t * ohne Überprüfung der Speicher-Ausrichtung durch. Wenn Coturn eine speziell präparierte STUN-Nachricht mit falsch ausgerichteten Attributgrenzen verarbeitet, führt dies zu fehlerhaften Speicherzugriffen in nsturnmsg.c. Auf ARM64-Architekturen (AArch64) mit strikter Ausrichtungsdurchsetzung führt dies zu einem SIGBUS-Signal, das den TURN-Server-Prozess sofort beendet. Der CVSS-Wert für diese Schwachstelle beträgt 7,5, was ein moderates Risiko anzeigt. Eine erfolgreiche Ausnutzung könnte zu einem Denial-of-Service (DoS)-Zustand führen, indem der Betrieb des TURN-Servers unterbrochen wird.
Die Ausnutzung dieser Schwachstelle erfordert das Senden einer speziell präparierten STUN-Nachricht an einen anfälligen Coturn-Server. Die Nachricht muss Attribute mit falsch ausgerichteten Speichergrenzen enthalten. Die Ausnutzung ist wahrscheinlicher auf ARM64-Architekturen (AArch64) mit strikter Ausrichtungsdurchsetzung, wo das SIGBUS-Signal zuverlässig auftritt. Obwohl die Erstellung einer bösartigen STUN-Nachricht einige technische Kenntnisse erfordern kann, macht die relative Einfachheit des Angriffs ihn zu einem potenziellen Problem für Angreifer. Das Fehlen eines KEV (Knowledge Entry Vector) deutet darauf hin, dass kein öffentlicher Exploit veröffentlicht wurde, aber die Schwachstelle bleibt ein potenzielles Risiko.
Exploit-Status
EPSS
0.19% (41% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2026-40613 ist das Upgrade von Coturn auf Version 4.10.0 oder höher. Diese Version behebt die Schwachstelle, indem sie vor der Durchführung der Pointer-Casts geeignete Speicher-Ausrichtungsprüfungen implementiert. Systemadministratoren werden dringend empfohlen, ihre Coturn-Server so schnell wie möglich zu aktualisieren, um das Risiko einer Ausnutzung zu mindern. Darüber hinaus wird empfohlen, die TURN-Serverprotokolle auf SIGBUS-Signale zu überwachen, da diese eine Ausnutzungsversuch anzeigen könnten. Wenn eine Ausnutzung vermutet wird, sollten sofort Untersuchungen und Korrekturmaßnahmen eingeleitet werden.
Actualice a la versión 4.10.0 o posterior de Coturn para mitigar la vulnerabilidad. Esta actualización corrige el problema de acceso a memoria desalineada en el analizador de atributos STUN, previniendo así el posible fallo del servidor TURN en arquitecturas ARM64.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Coturn ist eine kostenlose und Open-Source-Implementierung von TURN- und STUN-Servern, die für die NAT-Traversal in Kommunikationsanwendungen verwendet wird.
Dieses Update behebt eine Schwachstelle, die dazu führen könnte, dass der TURN-Server abstürzt und den Dienst potenziell unterbricht.
SIGBUS ist ein Signal, das einen Fehler beim Zugriff auf falsch ausgerichteten Speicher anzeigt. In diesem Fall wird es durch eine falsche Pointer-Konvertierung ausgelöst.
Sie können Ihre Coturn-Version überprüfen, indem Sie den Befehl coturn --version in der Befehlszeile ausführen.
Es gibt keine Alternativen zum Update. Die einzige Lösung ist, auf Version 4.10.0 oder höher zu aktualisieren.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.