LINE Engineering
Blog

  • VoIPのオープンソースライブラリPJSIPにおけるバッファオーバーフロー
    Kim Youngsung 2017.12.24

    LINEでセキュリティエンジニアとして働いています。バグを探すのが楽しく、セキュアコーディングへの関心が高いです。

    こんにちは。セキュリティ室(アプリケーションセキュリティチーム)で主にLINEサービスのセキュリティ診断を担当しているYoungsung Kim(Facebookアカウント/Twitterアカウント)です。

    これはLINE Advent Calendar 2017の24日目の記事です。

    今日はVoIPのオープンソースライブラリであるPJSIPの脆弱性(CVE-2017-16872およびAST-2017-009)について書かせていただきます。PJSIPは、標準プロトコル(SIP、SDP、RTP、STUN、TURN、ICE)を実装したオープンソースのマルチメディア通信ライブラリです。たとえばIP PBXやVoIPゲートウェイなどで広く使用されているAsteriskフレームワークは、PJSIPを使用してSIPスタックを実装しています。

    はじめに

    今回発見した脆弱性は、64ビット環境においてクライアントから受け取ったデータを処理する際にsigned intからunsigned longへの暗黙的な型変換(型キャスト)が行われており、そこで整数型の符号拡張を考慮していないことが原因でバッファオーバーフローが発生するというものでした。この脆弱性についての詳細は、「(Security) Function in PJSIP 2.7 miscalculates the length of an unsigned long variable in 64bit machines」を参照してください。

    VoIP Security Vulnerability OpenSource CVE PJSIP PJPROJECT ASTERISK

    もっと見る

  • CEDEC 2017 登壇レポート 「LINEゲームのセキュリティ診断手法」
    Teppei Miki 2017.09.11

    Tech PR at LINE Corp.

    2017年8月30日(水)〜9月1日(金)にパシフィコ横浜で開催された コンピュータエンターテインメントデベロッパーズカンファレンス2017(CEDEC 2017) にて、LINEはPRプログラムスポンサーとして協賛いたしました。8月31日には、セキュリティ室に所属するエンジニアである愛甲健二が、「LINEゲームのセキュリティ診断手法」と題して登壇しました。

    CEDEC Security

    もっと見る

  • 2017年上半期LINE Security Bug Bounty Programの結果について
    MJ 2017.08.02

    LINEでセキュリティに関する業務を担当しています。

    プログラム対象拡大について

    こんにちは。LINEでセキュリティに関する業務を担当しているMJです。

    今回の記事では、2017年上半期(1月1日~6月30日)の「LINE Security Bug Bounty Program」を振り返り、皆さんにご紹介していきたいと思います。このプログラムは、LINEが提供するサービスにおいて潜在的に存在する脆弱性を外部のセキュリティリサーチャーからご報告を頂き、我々が迅速に修正していくことで皆様により安全なサービスを提供することを目的としています。

    また「LINE Security Bug Bounty Program」として常時運営を開始(2016年6月2日)して以降、LINEサービスの成長に伴い4月10日よりプログラムの対象を拡大しました。(新たにコミュニケーションアプリ「LINE」のChrome版・Windows 10 Mobile版と、LINE STORE・LINE NEWS・LINE MUSIC・LINE LIVEの各Webサイトを追加いたしました)

    https://linecorp.com/ja/pr/news/ja/2017/1712

    LINE-Bug-Bounty Bug-Bounty

    もっと見る

  • LINE and Intertrust Security Summit 2017 Spring, Tokyo レポート後編
    Naohisa Ichihara 2017.07.21

    こんにちは、LINE セキュリティ室の市原です。
    普段は、LINEの提供するサービスのセキュリティコンサル、アカウント乗っ取り/Abusing対策、認証技術の調査・研究、標準化活動、などを行っています。今日は、5月17日にLINEとIntertrust社が主催で開催した「LINE and Intertrust Security Summit 2017 Spring, Tokyo」について報告したいと思います。
    こちらのエントリはイベントレポートの後編です。前編はこちら

    Security Intertrust

    もっと見る

  • LINE and Intertrust Security Summit 2017 Spring, Tokyo レポート前編
    Naohisa Ichihara 2017.07.21

    こんにちは、LINE セキュリティ室の市原です。
    普段は、LINEの提供するサービスのセキュリティコンサル、アカウント乗っ取り/Abusing対策、認証技術の調査・研究、標準化活動、などを行っています。今日は、5月17日にLINEとIntertrust社が主催で開催した「LINE and Intertrust Security Summit 2017 Spring, Tokyo」について報告したいと思います。
    こちらのエントリはイベントレポートの前編です。後編はこちら

    Security Intertrust

    もっと見る