Debian DSA-5033-1: fort-validator - セキュリティ更新

critical Nessus プラグイン ID 156442

Language:

概要

リモートの Debian ホストに 1 つまたは複数のセキュリティ関連の更新プログラムがありません。

説明

リモートのDebian 11 ホストには、dsa-5033 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- OctoRPKI は、..を含むファイル名の URI をエスケープしません。これにより、リポジトリがファイルを作成する可能性があります (例：rsync: //example.org/repo/../../etc/cron.daily/evil.roa)。そしてベースキャッシュフォルダー外のディスクへ書き込まれます。これにより、OctoRPKI が実行されているホストマシンでリモートコードが実行される可能性があります。 (CVE-2021-3907)

- OctoRPKI は接続の長さを制限しないため、slowloris DOS 攻撃が発生し、OctoRPKI が永久に待機する可能性があります。具体的には、OctoRPKI が HTTP リクエストを送信するリポジトリは、応答が返される前の 1 日間は接続を開いたままにしておきますが、新しいバイトをドリップフィードし続けて、接続を維持します。 (CVE-2021-3909)

- RPKI CA が X.509 EE 証明書を発行すると、 1.5.2より前のバージョンの FORT Validator がクラッシュします。これにより、BGP ルーターなどの RTR クライアントが RPKI VRP データセットへのアクセスを失い、Route Origin Validation が事実上無効になります。 (CVE-2021-43114)

- 0.10.2より前の NLnet Labs Routinator では、バイトを応答せずにゆっくりとドリップフィードすることで、RRDP リポジトリによって検証の実行が大幅に遅延し、接続が維持されます。これは、検証を効果的に停止させるために使用できます。Routinator には RRDP 接続に対して構成可能なタイムアウト値がありますが、このタイムアウトは完全なリクエストではなく、個々の読み取りまたは書き込み操作にのみ適用されていました。
したがって、RRDP リポジトリがタイムアウトになる前に少しデータを送信すると、リクエストが完了するまでの時間を継続的に延長する可能性があります。検証は RRDP リポジトリの更新が終了した後にのみ続行されるため、この遅延により検証が停止し、Routinator が古いデータセットの提供を継続したり、開始後最初の検証を直接実行する場合は、まったくデータが提供されなくなったりします。 (CVE-2021-43173)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。