Plataforma
linux
Componente
coturn
Corrigido em
4.10.1
A Denial of Service (DoS) vulnerability has been discovered in Coturn, a TURN and STUN server implementation. The vulnerability stems from unsafe pointer casts during STUN attribute parsing, leading to misaligned memory reads on ARM64 architectures. This can result in a SIGBUS signal and crash the turnserver process when processing specially crafted STUN messages. Versions prior to 4.10.0 are affected, and a fix is available in version 4.10.0.
A vulnerabilidade CVE-2026-40613 no Coturn afeta versões anteriores à 4.10.0. Trata-se de uma falha de segurança relacionada ao tratamento de atributos STUN/TURN. Especificamente, as funções de análise de atributos no Coturn realizam conversões de ponteiros inseguras de uint8_t * para uint16_t * sem verificar o alinhamento da memória. Quando o Coturn processa uma mensagem STUN maliciosa com limites de atributos desalinhados, isso resulta em leituras de memória desalinhadas em nsturnmsg.c. Em arquiteturas ARM64 (AArch64) com aplicação estrita do alinhamento de memória, isso resulta em um sinal SIGBUS, que finaliza imediatamente o processo do servidor TURN. A pontuação CVSS para esta vulnerabilidade é 7,5, indicando um risco moderadamente alto. A exploração bem-sucedida pode levar a uma condição de negação de serviço (DoS) ao interromper a operação do servidor TURN.
A exploração desta vulnerabilidade requer o envio de uma mensagem STUN especialmente elaborada para um servidor Coturn vulnerável. A mensagem deve conter atributos com limites de memória desalinhados. A exploração é mais provável em arquiteturas ARM64 (AArch64) com aplicação estrita do alinhamento de memória, onde o sinal SIGBUS ocorrerá de forma confiável. Embora a criação de uma mensagem STUN maliciosa possa exigir algum conhecimento técnico, a relativa simplicidade do ataque o torna uma preocupação potencial para atacantes. A ausência de um KEV (Knowledge Entry Vector) indica que um exploit público não foi publicado, mas a vulnerabilidade permanece um risco potencial.
Status do Exploit
EPSS
0.19% (percentil 41%)
CISA SSVC
Vetor CVSS
A solução para CVE-2026-40613 é atualizar o Coturn para a versão 4.10.0 ou posterior. Esta versão corrige a vulnerabilidade implementando verificações adequadas de alinhamento de memória antes de realizar as conversões de ponteiros. Os administradores de sistemas são fortemente aconselhados a atualizar seus servidores Coturn o mais rápido possível para mitigar o risco de exploração. Além disso, é recomendável monitorar os logs do servidor TURN em busca de sinais SIGBUS, pois estes podem indicar uma tentativa de exploração. Se a exploração for suspeita, deve-se tomar medidas imediatas de investigação e corretivas.
Actualice a la versión 4.10.0 o posterior de Coturn para mitigar la vulnerabilidad. Esta actualización corrige el problema de acceso a memoria desalineada en el analizador de atributos STUN, previniendo así el posible fallo del servidor TURN en arquitecturas ARM64.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Coturn é uma implementação gratuita e de código aberto de servidores TURN e STUN, usados para travessia NAT em aplicativos de comunicação.
Esta atualização corrige uma vulnerabilidade que pode causar a falha do servidor TURN, interrompendo potencialmente o serviço.
SIGBUS é um sinal que indica um erro de acesso à memória desalinhada. Neste caso, é acionado por uma conversão de ponteiro incorreta.
Você pode verificar sua versão do Coturn executando o comando coturn --version na linha de comando.
Não existem alternativas à atualização. A única solução é atualizar para a versão 4.10.0 ou posterior.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.