Debian DSA-5033-1: fort-validator - セキュリティ更新

critical Nessus プラグイン ID 156442

概要

リモートの Debian ホストに 1 つまたは複数のセキュリティ関連の更新プログラムがありません。

説明

リモートのDebian 11 ホストには、dsa-5033 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- OctoRPKI は、..を含むファイル名の URI をエスケープしません。これにより、リポジトリがファイルを作成する可能性があります (例:rsync: //example.org/repo/../../etc/cron.daily/evil.roa)。そしてベースキャッシュフォルダー外のディスクへ書き込まれます。これにより、OctoRPKI が実行されているホストマシンでリモートコードが実行される可能性があります。 (CVE-2021-3907)

- OctoRPKI は接続の長さを制限しないため、slowloris DOS 攻撃が発生し、OctoRPKI が永久に待機する可能性があります。具体的には、OctoRPKI が HTTP リクエストを送信するリポジトリは、応答が返される前の 1 日間は接続を開いたままにしておきますが、新しいバイトをドリップフィードし続けて、接続を維持します。 (CVE-2021-3909)

- RPKI CA が X.509 EE 証明書を発行すると、 1.5.2より前のバージョンの FORT Validator がクラッシュします。これにより、BGP ルーターなどの RTR クライアントが RPKI VRP データセットへのアクセスを失い、Route Origin Validation が事実上無効になります。 (CVE-2021-43114)

- 0.10.2より前の NLnet Labs Routinator では、バイトを応答せずにゆっくりとドリップフィードすることで、RRDP リポジトリによって検証の実行が大幅に遅延し、接続が維持されます。これは、検証を効果的に停止させるために使用できます。Routinator には RRDP 接続に対して構成可能なタイムアウト値がありますが、このタイムアウトは完全なリクエストではなく、個々の読み取りまたは書き込み操作にのみ適用されていました。
したがって、RRDP リポジトリがタイムアウトになる前に少しデータを送信すると、リクエストが完了するまでの時間を継続的に延長する可能性があります。検証は RRDP リポジトリの更新が終了した後にのみ続行されるため、この遅延により検証が停止し、Routinator が古いデータセットの提供を継続したり、開始後最初の検証を直接実行する場合は、まったくデータが提供されなくなったりします。 (CVE-2021-43173)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。

ソリューション

fort-validator パッケージをアップグレードしてください。

安定版 (stable) ディストリビューション (bullseye) では、これらの問題はバージョン 1.5.3-1~deb11u1 で修正されています。

参考資料

http://www.nessus.org/u?a04ffe16

https://www.debian.org/security/2021/dsa-5033

https://security-tracker.debian.org/tracker/CVE-2021-3907

https://security-tracker.debian.org/tracker/CVE-2021-3909

https://security-tracker.debian.org/tracker/CVE-2021-43114

https://security-tracker.debian.org/tracker/CVE-2021-43173

https://packages.debian.org/source/bullseye/fort-validator

プラグインの詳細

深刻度: Critical

ID: 156442

ファイル名: debian_DSA-5033.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2021/12/31

更新日: 2021/12/31

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2021-3907

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:fort-validator

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/12/30

脆弱性公開日: 2021/11/9

参照情報

CVE: CVE-2021-3907, CVE-2021-3909, CVE-2021-43114, CVE-2021-43173