Debian DSA-5041-1：cfrpki - 安全更新

critical Nessus 插件 ID 156636

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 11 主机上安装的一个程序包受到 dsa-5041 公告中提及的多个漏洞影响。

- RPKI 中的任何 CA 颁发者都可以诱骗 OctoRPKI 1.3.0 之前版本发出无效的 VRP MaxLength 值，从而导致 RTR 会话终止。攻击者可利用此漏洞，在启动 BGP 劫持之前禁用受害网络（例如 AS 13335 - Cloudflare）中的 RPKI 源验证，此劫持在正常操作期间会因为 RPKI 无效而遭到拒绝。此外，在某些部署中，RTR 会话不稳定或会话本身也可能会造成 BGP 路由波动，从而导致可用性问题。(CVE-2021-3761)

- OctoRPKI 不会转义文件名中包含“..”的 URI，这会允许存储库创建文件（例如 rsync: //example.org/repo/../../etc/cron.daily/evil.roa），然后将其写入基本缓存文件夹以外的磁盘。而该操作可能允许在运行 OctoRPKI 的主机上执行远程代码。(CVE-2021-3907)

- OctoRPKI 不限制证书链的深度，允许 CA 以临时方式创建子项，从而使树的遍历永无止境。(CVE-2021-3908)

- OctoRPKI 未限制连接长度，这将允许发动 slowloris DOS 攻击，从而导致 OctoRPKI 永远处于等待状态。具体来说，OctoRPKI 向其发送 HTTP 请求的存储库将在返回响应之前，保持连接打开一天时间，但会不断输入新字节以保持连接处于活动状态。(CVE-2021-3909)

- 遇到返回无效 ROA（仅编码的 NUL (\0) 字符）的存储库时，OctoRPKI 会崩溃。(CVE-2021-3910)

- 如果存储库返回的 ROA 包含过多 IP 地址位，则 OctoRPKI 将崩溃。
(CVE-2021-3911)

- OctoRPKI 尝试将存储库的全部内容加载到内存中，如果是 GZIP 炸弹，则会在内存中将其解压缩，从而可能创建一个会让 OctoRPKI 耗尽内存（并因此崩溃）的存储库。(CVE-2021-3912)

- 在 0.10.2 之前版本的 NLnet Labs Routerator 中，RRDP 存储库可通过不响应而是缓慢输入字节来保持连接处于活动状态，从而显著延迟运行验证程序。这可用于有效暂缓验证。尽管 Routerator 具有用于 RRDP 连接的可配置超时值，但此超时仅应用于单个读取或写入操作，而不是完整的请求。
因此，如果 RRDP 存储库在该超时到期之前发送了少量数据，则它可以持续延长完成请求所需的时间。由于验证程序仅会在 RRDP 存储库更新结束后才会继续进行，因此该延迟将导致验证暂缓，进而导致 Routator 继续提供旧数据集，或者如果在初始验证开始后直接运行 Routator，则它将不会提供任何数据。(CVE-2021-43173)

- 当查询 RRDP 存储库时，NLnet Labs Routinator 0.9.0 至 0.10.1（含）版本支持 gzip 传输编码。RRDP 存储库可使用此编码在这些版本的 Routinator 中造成由内存不足引发的崩溃。RRDP 会使用允许编码数据中有任意数量空格的 XML。gzip 方案会极度压缩这些空格，导致非常小的压缩文件在解压缩以做进一步处理时变得巨大，大到足以导致 Routinator 在解析等待下一个 XML 元素的输入数据时耗尽内存。(CVE-2021-43174)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。