Tag Archives: VoIP

VoIP 오픈 소스 라이브러리인 PJSIP에서의 버퍼 오버플로우

안녕하세요. 보안실(애플리케이션 보안팀)에서 LINE 서비스의 보안 평가를 담당하고 있는 김영성(Facebook, Twitter)입니다.

이번 포스팅에서는 VoIP 오픈 소스 라이브러리인 PJSIP의 취약점(CVE-2017-16872, AST-2017-009)에 대해 다루고자 합니다. PJSIP는 표준 프로토콜인 SIP, SDP, RTP, STUN, TURN 및 ICE를 구현한 멀티미디어 통신 라이브러리입니다. IP-PBX, VoIP 게이트웨이 등에서 널리 사용되는 Asterisk 프레임워크에서도 PJSIP 기반으로 SIP 스택을 구현했습니다.

이번에 발견한 취약점은 64-bit 환경에서 클라이언트로부터 받은 SIP 요청을 처리할 때, signed int형을 unsigned long 형으로 변환하는 과정 중에, 정수의 부호 확장을 고려하지 않은 것이 원인이며, 결과적으로 이 취약점은 버퍼 오버플로우를 발생시킬 수 있습니다. 취약점을 확인한 후 PJSIP 개발팀에 문의했지만 보안 이슈를 제보할 수 있는 창구가 없어, Asterisk security 대응 창구제보했습니다. 이후 Asterisk의 개발자인 George Joseph씨와 패치에 대해 논의했고, pjproject 2.7.1 버전에 패치(PJSIP 패치, Asterisk 패치)가 적용되었습니다. 이 기회를 빌어 패치 작업을 진행해 주신 George씨께 감사드립니다.

동시에 200명과 통화할 수 있는 LINE Group Call

안녕하세요, LINE에서 Group Call 서비스를 개발하고 있는 박정준입니다.

LINE에서는 “Closing the Distance”라는 비전을 달성하기 위해서, 다양한 통화 서비스를 제공하고 있습니다. 이번 블로그에서는 그 중에서도 많은 사람들이 동시에 통화할 수 있는 LINE Group Call의 기능과 기술에 대해서 소개해드리려고 합니다.

먼저, LINE Group Call의 기능에 대해서 간단하게 소개하겠습니다.

동시에 200명까지 통화할 수 있는 LINE Group Call

LINE Group Call은 LINE으로 동시에 200명까지 통화할 수 있는 서비스입니다. 2016년 3월에 음성 Group Call 서비스를 먼저 출시하였으며, 이어서 작년 12월에는 영상 Group Call을 출시하였습니다. 음성 통화와 영상 통화 모두 언제 어디서나 무료로 제공됩니다(접속하는 데이터 환경에 따라서 통신 비용이 부과될 수 있습니다).

LINE Group Call을 사용하기 위해서는 아래 사양의 LINE이 설치되어 있어야 합니다.

  • 음성 Group Call: LINE iOS 5.11.0 이상, LINE Android 5.11.0 이상, LINE Desktop(Windows/macOS) 4.5.0 이상
  • 영상 Group Call: LINE iOS 6.9 이상, LINE Android 6.9.2 이상, LINE Desktop(Windows) 5.0.0 이상