प्लेटफ़ॉर्म
linux
घटक
coturn
में ठीक किया गया
4.10.1
CVE-2026-40613 Coturn TURN/STUN सर्वर में एक भेद्यता है जो एक Denial of Service (DoS) का कारण बनती है। यह भेद्यता ARM64 आर्किटेक्चर पर विशेष रूप से गंभीर है, जहां एक दुर्भावनापूर्ण STUN संदेश TURN सर्वर को क्रैश कर सकता है। यह भेद्यता Coturn के 0.0.0 से 4.10.0 से पहले के संस्करणों को प्रभावित करती है। 4.10.0 संस्करण में इस समस्या का समाधान किया गया है।
Coturn में CVE-2026-40613 4.10.0 से पहले के संस्करणों को प्रभावित करता है। यह STUN/TURN विशेषताओं के प्रबंधन से संबंधित एक सुरक्षा भेद्यता है। विशेष रूप से, Coturn में विशेषता पार्सिंग फ़ंक्शन uint8_t * से uint16_t * तक असुरक्षित पॉइंटर कास्ट करते हैं, बिना मेमोरी संरेखण की जाँच किए। जब विषम संरेखित विशेषता सीमाओं के साथ एक तैयार STUN संदेश को संसाधित किया जाता है, तो यह nsturnmsg.c में गलत मेमोरी रीड का कारण बनता है। सख्त संरेखण प्रवर्तन के साथ ARM64 आर्किटेक्चर (AArch64) पर, यह एक SIGBUS सिग्नल उत्पन्न करता है, जिससे TURN सर्वर प्रक्रिया तुरंत समाप्त हो जाती है। इस भेद्यता के लिए CVSS स्कोर 7.5 है, जो मध्यम जोखिम का संकेत देता है। सफल शोषण से TURN सर्वर के संचालन को बाधित करके इनकार-ऑफ-सर्विस (DoS) स्थिति हो सकती है।
इस भेद्यता का शोषण करने के लिए, एक कमजोर Coturn सर्वर को एक विशेष रूप से तैयार STUN संदेश भेजने की आवश्यकता होती है। संदेश में गलत मेमोरी सीमाओं के साथ विशेषताएँ होनी चाहिए। सख्त संरेखण प्रवर्तन के साथ ARM64 (AArch64) आर्किटेक्चर पर शोषण की संभावना अधिक होती है, जहाँ SIGBUS सिग्नल विश्वसनीय रूप से उत्पन्न होगा। हालाँकि, एक दुर्भावनापूर्ण STUN संदेश बनाना कुछ तकनीकी ज्ञान की आवश्यकता हो सकती है, लेकिन हमले की सापेक्ष सादगी इसे हमलावरों के लिए एक संभावित चिंता बनाती है। KEV (नॉलेज एंट्री वेक्टर) की अनुपस्थिति से पता चलता है कि कोई सार्वजनिक शोषण प्रकाशित नहीं हुआ है, लेकिन भेद्यता अभी भी एक संभावित जोखिम बनी हुई है।
एक्सप्लॉइट स्थिति
EPSS
0.19% (41% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-40613 के लिए समाधान Coturn को संस्करण 4.10.0 या बाद के संस्करण में अपग्रेड करना है। यह संस्करण पॉइंटर कास्ट करने से पहले उचित मेमोरी संरेखण जाँच को लागू करके भेद्यता को ठीक करता है। सिस्टम प्रशासकों को शोषण के जोखिम को कम करने के लिए जल्द से जल्द अपने Coturn सर्वरों को अपग्रेड करने की दृढ़ता से सलाह दी जाती है। इसके अतिरिक्त, TURN सर्वर लॉग में SIGBUS सिग्नल की निगरानी करने की अनुशंसा की जाती है, क्योंकि ये शोषण के प्रयास का संकेत दे सकते हैं। यदि शोषण का संदेह है, तो तत्काल जांच और सुधारात्मक कार्रवाई की जानी चाहिए।
Actualice a la versión 4.10.0 o posterior de Coturn para mitigar la vulnerabilidad. Esta actualización corrige el problema de acceso a memoria desalineada en el analizador de atributos STUN, previniendo así el posible fallo del servidor TURN en arquitecturas ARM64.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Coturn संचार अनुप्रयोगों में NAT ट्रैवर्सल के लिए उपयोग किए जाने वाले TURN और STUN सर्वरों का एक मुफ्त और ओपन-सोर्स कार्यान्वयन है।
यह अपडेट एक भेद्यता को ठीक करता है जिससे TURN सर्वर क्रैश हो सकता है, जिससे सेवा बाधित हो सकती है।
SIGBUS एक सिग्नल है जो गलत संरेखित मेमोरी एक्सेस त्रुटि को इंगित करता है। इस मामले में, यह गलत पॉइंटर रूपांतरण के कारण होता है।
आप कमांड लाइन में coturn --version कमांड चलाकर अपने Coturn संस्करण की जांच कर सकते हैं।
अपडेट के कोई विकल्प नहीं हैं। एकमात्र समाधान संस्करण 4.10.0 या बाद के संस्करण में अपग्रेड करना है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।