Debian DSA-5041-1:cfrpki - 安全更新

critical Nessus 插件 ID 156636

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 11 主机上安装的一个程序包受到 dsa-5041 公告中提及的多个漏洞影响。

- RPKI 中的任何 CA 颁发者都可以诱骗 OctoRPKI 1.3.0 之前版本发出无效的 VRP MaxLength 值,从而导致 RTR 会话终止。攻击者可利用此漏洞,在启动 BGP 劫持之前禁用受害网络(例如 AS 13335 - Cloudflare)中的 RPKI 源验证,此劫持在正常操作期间会因为 RPKI 无效而遭到拒绝。此外,在某些部署中,RTR 会话不稳定或会话本身也可能会造成 BGP 路由波动,从而导致可用性问题。(CVE-2021-3761)

- OctoRPKI 不会转义文件名中包含“..”的 URI,这会允许存储库创建文件(例如 rsync: //example.org/repo/../../etc/cron.daily/evil.roa),然后将其写入基本缓存文件夹以外的磁盘。而该操作可能允许在运行 OctoRPKI 的主机上执行远程代码。(CVE-2021-3907)

- OctoRPKI 不限制证书链的深度,允许 CA 以临时方式创建子项,从而使树的遍历永无止境。(CVE-2021-3908)

- OctoRPKI 未限制连接长度,这将允许发动 slowloris DOS 攻击,从而导致 OctoRPKI 永远处于等待状态。具体来说,OctoRPKI 向其发送 HTTP 请求的存储库将在返回响应之前,保持连接打开一天时间,但会不断输入新字节以保持连接处于活动状态。(CVE-2021-3909)

- 遇到返回无效 ROA(仅编码的 NUL (\0) 字符)的存储库时,OctoRPKI 会崩溃。(CVE-2021-3910)

- 如果存储库返回的 ROA 包含过多 IP 地址位,则 OctoRPKI 将崩溃。
(CVE-2021-3911)

- OctoRPKI 尝试将存储库的全部内容加载到内存中,如果是 GZIP 炸弹,则会在内存中将其解压缩,从而可能创建一个会让 OctoRPKI 耗尽内存(并因此崩溃)的存储库。(CVE-2021-3912)

- 在 0.10.2 之前版本的 NLnet Labs Routerator 中,RRDP 存储库可通过不响应而是缓慢输入字节来保持连接处于活动状态,从而显著延迟运行验证程序。这可用于有效暂缓验证。尽管 Routerator 具有用于 RRDP 连接的可配置超时值,但此超时仅应用于单个读取或写入操作,而不是完整的请求。
因此,如果 RRDP 存储库在该超时到期之前发送了少量数据,则它可以持续延长完成请求所需的时间。由于验证程序仅会在 RRDP 存储库更新结束后才会继续进行,因此该延迟将导致验证暂缓,进而导致 Routator 继续提供旧数据集,或者如果在初始验证开始后直接运行 Routator,则它将不会提供任何数据。(CVE-2021-43173)

- 当查询 RRDP 存储库时,NLnet Labs Routinator 0.9.0 至 0.10.1(含)版本支持 gzip 传输编码。RRDP 存储库可使用此编码在这些版本的 Routinator 中造成由内存不足引发的崩溃。RRDP 会使用允许编码数据中有任意数量空格的 XML。gzip 方案会极度压缩这些空格,导致非常小的压缩文件在解压缩以做进一步处理时变得巨大,大到足以导致 Routinator 在解析等待下一个 XML 元素的输入数据时耗尽内存。(CVE-2021-43174)

请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

升级 cfrpki 程序包。

对于稳定发行版本 (bullseye),这些问题已在 1.4.2-1~deb11u1 版本中解决。

另见

https://security-tracker.debian.org/tracker/source-package/cfrpki

https://www.debian.org/security/2022/dsa-5041

https://security-tracker.debian.org/tracker/CVE-2021-3761

https://security-tracker.debian.org/tracker/CVE-2021-3907

https://security-tracker.debian.org/tracker/CVE-2021-3908

https://security-tracker.debian.org/tracker/CVE-2021-3909

https://security-tracker.debian.org/tracker/CVE-2021-3910

https://security-tracker.debian.org/tracker/CVE-2021-3911

https://security-tracker.debian.org/tracker/CVE-2021-3912

https://security-tracker.debian.org/tracker/CVE-2021-43173

https://security-tracker.debian.org/tracker/CVE-2021-43174

https://packages.debian.org/source/bullseye/cfrpki

插件详情

严重性: Critical

ID: 156636

文件名: debian_DSA-5041.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2022/1/12

最近更新时间: 2022/1/12

支持的传感器: Frictionless Assessment Agent, Nessus Agent

风险信息

CVSS 分数来源: CVE-2021-3907

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:octorpki, cpe:/o:debian:debian_linux:11.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2022/1/11

漏洞发布日期: 2021/9/9

参考资料信息

CVE: CVE-2021-3761, CVE-2021-3907, CVE-2021-3908, CVE-2021-3909, CVE-2021-3910, CVE-2021-3911, CVE-2021-3912, CVE-2021-43173, CVE-2021-43174