Platform
linux
Component
coturn
Opgelost in
4.10.1
Coturn, een open-source implementatie van TURN en STUN Server, bevat een Denial of Service (DoS) kwetsbaarheid. Deze kwetsbaarheid is te wijten aan onveilige pointer casts tijdens het parsen van STUN-berichten. Door een speciaal geconstrueerd STUN-bericht te versturen, kan een aanvaller de turnserver laten crashen, met name op ARM64 architecturen. De kwetsbaarheid beïnvloedt Coturn versies 0.0.0 tot en met versies lager dan 4.10.0. Een fix is beschikbaar in versie 4.10.0.
CVE-2026-40613 in Coturn treft versies vóór 4.10.0. Het is een beveiligingslek gerelateerd aan de verwerking van STUN/TURN-attributen. Specifiek voeren de attributen-parsing-functies in Coturn onveilige pointer casts uit van uint8_t * naar uint16_t * zonder uitlijningscontroles. Wanneer Coturn een opzettelijk vervaardigde STUN-bericht verwerkt met verkeerd uitgelijnde attribuutgrenzen, leidt dit tot verkeerde geheugenlezen in nsturnmsg.c. Op ARM64-architecturen (AArch64) met strikte uitlijningsafhandeling, veroorzaakt dit een SIGBUS-signaal dat het TURN-serverproces onmiddellijk beëindigt. De CVSS-score voor dit kwetsbaarheid is 7,5, wat een matig hoog risico aangeeft. Een succesvolle exploitatie kan leiden tot een denial-of-service (DoS)-conditie door de werking van de TURN-server te verstoren.
Exploitatie van deze kwetsbaarheid vereist het verzenden van een opzettelijk vervaardigd STUN-bericht naar een kwetsbare Coturn-server. Het bericht moet attributen bevatten met verkeerd uitgelijnde geheugengrenzen. Exploitatie is waarschijnlijker op ARM64-architecturen (AArch64) met strikte uitlijningsafhandeling, waar het SIGBUS-signaal betrouwbaar zal optreden. Hoewel het maken van een kwaadaardig STUN-bericht enige technische kennis kan vereisen, maakt de relatieve eenvoud van de aanval het tot een potentieel probleem voor aanvallers. Het ontbreken van een KEV (Knowledge Entry Vector) geeft aan dat er geen publieke exploit is gepubliceerd, maar de kwetsbaarheid blijft een potentieel risico.
Exploit Status
EPSS
0.19% (41% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-40613 is het upgraden van Coturn naar versie 4.10.0 of hoger. Deze versie corrigeert de kwetsbaarheid door geschikte geheugenuitlijningscontroles te implementeren voordat de pointer casts worden uitgevoerd. Systeembeheerders worden ten zeerste aangeraden hun Coturn-servers zo snel mogelijk te upgraden om het risico op exploitatie te verminderen. Daarnaast wordt aanbevolen om de TURN-serverlogboeken te controleren op SIGBUS-signalen, aangezien deze een poging tot exploitatie kunnen aangeven. Als exploitatie wordt vermoed, moeten onmiddellijk onderzoek en corrigerende maatregelen worden genomen.
Actualice a la versión 4.10.0 o posterior de Coturn para mitigar la vulnerabilidad. Esta actualización corrige el problema de acceso a memoria desalineada en el analizador de atributos STUN, previniendo así el posible fallo del servidor TURN en arquitecturas ARM64.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Coturn is een gratis en open-source implementatie van TURN- en STUN-servers, gebruikt voor NAT-traversal in communicatieapplicaties.
Deze update corrigeert een kwetsbaarheid die ertoe kan leiden dat de TURN-server crasht, waardoor de service mogelijk wordt verstoord.
SIGBUS is een signaal dat een fout bij de toegang tot verkeerd uitgelijnd geheugen aangeeft. In dit geval wordt het veroorzaakt door een onjuiste pointerconversie.
U kunt uw Coturn-versie controleren door de opdracht coturn --version in de opdrachtregel uit te voeren.
Er zijn geen alternatieven voor het updaten. De enige oplossing is om te upgraden naar versie 4.10.0 of hoger.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.