BigBlueButton is an open-source virtual classroom. In versions 3.0.19 and below, when first joining a session with the microphone muted, the client sends audio to the server regardless of mute state. Media is discarded at the server side, so it isn't audible to any participants, but this may allow for malicious server operators to access audio data. The behavior is only incorrect between joining the meeting and the first time the user unmutes. This issue has been fixed in version 3.0.20.
BigBlueButton versions 3.0.19 and below leak audio data to the server when users join with microphone muted, though the audio is discarded server-side. This vulnerability only affects the period between joining and first unmute, and has been patched in version 3.0.20.
تحتوي نسخ BigBlueButton 3.0.19 وما دونها على ثغرة في معالجة حالة الميكروفون حيث يتم إرسال البيانات الصوتية إلى الخادم حتى عندما يكون الميكروفون مكتوماً عند الانضمام. على الرغم من أن الخادم يتجاهل هذه البيانات ولا يتم تشغيلها للمشاركين الآخرين، إلا أن مشغلي الخادم الضارين قد يتمكنون من الوصول إلى البيانات الصوتية. يقتصر التأثير على الفترة الزمنية بين انضمام المستخدم وأول مرة يقوم فيها بإلغاء كتم الصوت.
إصدارات BigBlueButton 3.0.19 وما دونها تسرب بيانات صوتية إلى الخادم عند انضمام المستخدمين مع إيقاف الميكروفون، على الرغم من أن الصوت يتم تجاهله من جانب الخادم. تؤثر هذه الثغرة فقط على الفترة بين الانضمام وإلغاء الكتم الأول، وتم إصلاحها في الإصدار 3.0.20.
Upgrade BigBlueButton to version 3.0.20 or later immediately. For organizations unable to upgrade immediately, restrict server access to trusted administrators and monitor server logs for unauthorized audio data access attempts.
قم بترقية BigBlueButton إلى الإصدار 3.0.20 أو أحدث على الفور. بالنسبة للمنظمات غير القادرة على الترقية فوراً، قيد وصول الخادم للمسؤولين الموثوقين ومراقبة سجلات الخادم لمحاولات الوصول غير المصرح به إلى بيانات الصوت.