Debian DSA-5033-1：fort-validator - 安全更新

critical Nessus 插件 ID 156442

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 11 主机上安装的程序包受到 dsa-5033 公告中提及的多个漏洞影响。

- OctoRPKI 不会转义文件名中包含“..”的 URI，这会允许存储库创建文件（例如 rsync: //example.org/repo/../../etc/cron.daily/evil.roa），然后将其写入基本缓存文件夹以外的磁盘。而该操作可能允许在运行 OctoRPKI 的主机上执行远程代码。(CVE-2021-3907)

- OctoRPKI 未限制连接长度，这将允许发动 slowloris DOS 攻击，从而导致 OctoRPKI 永远处于等待状态。具体来说，OctoRPKI 向其发送 HTTP 请求的存储库将在返回响应之前，保持连接打开一天时间，但会不断输入新字节以保持连接处于活动状态。(CVE-2021-3909)

- 如果 RPKI CA 发布 X.509 EE 证书，则低于 1.5.2 版的 FORT Validator 将会崩溃。这将导致 BGP 路由器等 RTR 客户端失去对 RPKI VRP 数据集的访问权限，从而有效禁用路由来源验证。(CVE-2021-43114)

- 在 0.10.2 之前版本的 NLnet Labs Routerator 中，RRDP 存储库可通过不响应而是缓慢输入字节来保持连接处于活动状态，从而显著延迟运行验证程序。这可用于有效暂缓验证。尽管 Routerator 具有用于 RRDP 连接的可配置超时值，但此超时仅应用于单个读取或写入操作，而不是完整的请求。
因此，如果 RRDP 存储库在该超时到期之前发送了少量数据，则它可以持续延长完成请求所需的时间。由于验证程序仅会在 RRDP 存储库更新结束后才会继续进行，因此该延迟将导致验证暂缓，进而导致 Routator 继续提供旧数据集，或者如果在初始验证开始后直接运行 Routator，则它将不会提供任何数据。(CVE-2021-43173)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。