Coturn - это бесплатная реализация TURN и STUN сервера с открытым исходным кодом. Coturn до версии 4.5.2 по умолчанию не позволяет узлам по…

Coturn - это бесплатная реализация TURN и STUN сервера с открытым исходным кодом. Coturn до версии 4.5.2 по умолчанию не позволяет узлам подключаться и ретранслировать пакеты на loopback-адреса в диапазоне `127.x.x.x`. Однако было замечено, что при отправке запроса `CONNECT` со значением `XOR-PEER-ADDRESS` равным `0.0.0.0` был получен успешный ответ и впоследствии `CONNECTIONBIND` также получил успешный ответ. После этого Coturn может ретранслировать пакеты на loopback-интерфейс. Кроме того, когда coturn прослушивает IPv6, что является значением по умолчанию, доступ к loopback-интерфейсу также можно получить, используя либо `[::1]`, либо `[::]` в качестве адреса узла. Используя адрес `0.0.0.0` в качестве адреса узла, злоумышленник сможет ретранслировать пакеты на loopback-интерфейс, если не указано `--denied-peer-ip=0.0.0.0` (или аналогичный). Поскольку конфигурация по умолчанию подразумевает, что loopback-узлы не разрешены, администраторы coturn могут не устанавливать параметр `denied-peer-ip`. Проблема исправлена в версии 4.5.2. В качестве обходного решения адреса в адресном блоке `0.0.0.0/8`, `[::1]` и `[::]` должны быть запрещены по умолчанию, если не указано `--allow-loopback-peers`.