Debian DSA-5041-1:cfrpki - セキュリティ更新
critical Nessus プラグイン ID 156636
Language:
概要
リモートの Debian ホストに 1 つまたは複数のセキュリティ関連の更新プログラムがありません。説明
リモートのDebian 11 ホストには、dsa-5041 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- RPKI の CA 発行者が、1.3.0 より前の OctoRPKI を騙して無効な VRP MaxLength 値を放出させ、RTR セッションを終了させる可能性があります。攻撃者はこれを使用して、BGP ハイジャックを起動する前に、被害者のネットワーク (AS 13335-Cloudflare など) の RPKI Origin Validation を無効にすることができます。これは、通常の操作中に RPKI 無効として拒否されます。さらに、特定の展開では、RTR セッション自体が BGP ルーティングチャーンを引き起こし、可用性の問題を引き起こす可能性があります。 (CVE-2021-3761)
- OctoRPKI は、..を含むファイル名の URI をエスケープしません。これにより、リポジトリがファイルを作成する可能性があります (例:rsync: //example.org/repo/../../etc/cron.daily/evil.roa)。そしてベースキャッシュフォルダー外のディスクへ書き込まれます。これにより、OctoRPKI が実行されているホストマシンでリモートコードが実行される可能性があります。 (CVE-2021-3907)
- OctoRPKI は証明書チェーンの深さを制限しないため、CA がアドホックな方法で子を作成できるため、ツリートラバーサルが終了しません。 (CVE-2021-3908)
- OctoRPKI は接続の長さを制限しないため、slowloris DOS 攻撃が発生し、OctoRPKI が永久に待機する可能性があります。具体的には、OctoRPKI が HTTP リクエストを送信するリポジトリは、応答が返される前の 1 日間は接続を開いたままにしておきますが、新しいバイトをドリップフィードし続けて、接続を維持します。 (CVE-2021-3909)
- 無効な ROA (エンコードされたNUL (\0) 文字のみ) を返すリポジトリに遭遇すると、OctoRPKI がクラッシュします。 (CVE-2021-3910)
- リポジトリが返す ROA に含まれている IP アドレスのビットが多すぎる場合、OctoRPKI がクラッシュします。
(CVE-2021-3911)
- OctoRPKI は、リポジトリのコンテンツ全体をメモリにロードしようとします。GZIP 爆弾の場合は、メモリで解凍します。これにより、OctoRPKI がメモリ不足になる (したがってクラッシュする) リポジトリを作成することが可能になります。 (CVE-2021-3912)
- 0.10.2より前の NLnet Labs Routinator では、バイトを応答せずにゆっくりとドリップフィードすることで、RRDP リポジトリによって検証の実行が大幅に遅延し、接続が維持されます。これは、検証を効果的に停止させるために使用できます。Routinator には RRDP 接続に対して構成可能なタイムアウト値がありますが、このタイムアウトは完全なリクエストではなく、個々の読み取りまたは書き込み操作にのみ適用されていました。
したがって、RRDP リポジトリがタイムアウトになる前に少しデータを送信すると、リクエストが完了するまでの時間を継続的に延長する可能性があります。検証は RRDP リポジトリの更新が終了した後にのみ続行されるため、この遅延により検証が停止し、Routinator が古いデータセットの提供を継続したり、開始後最初の検証を直接実行する場合は、まったくデータが提供されなくなったりします。 (CVE-2021-43173)
- NLnet Labs Routinator のバージョン 0.9.0から 0.10.1までは、RRDP リポジトリへの問い合わせ時に gzip 転送エンコーディングをサポートします。このエンコーディングを RRDP リポジトリで使用すると、これらのバージョンの Routinator でメモリ不足によるクラッシュを引き起こす可能性があります。RRDP は XML を使用しており、エンコードされたデータに任意の量の空白を許可します。gzip スキームは、このような空白を非常に適切に圧縮するため、非常に小さな圧縮ファイルになりますが、次の処理のために解凍されると、次の XML 要素を待つために入力データを解析すると Routinator がメモリ不足になるほど巨大になります。(CVE-2021-43174)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。
ソリューション
cfrpki パッケージをアップグレードしてください。安定版 (stable) ディストリビューション (bullseye) では、これらの問題はバージョン 1.4.2-1~deb11u1 で修正されています。
参考資料
https://security-tracker.debian.org/tracker/source-package/cfrpki
https://www.debian.org/security/2022/dsa-5041
https://security-tracker.debian.org/tracker/CVE-2021-3761
https://security-tracker.debian.org/tracker/CVE-2021-3907
https://security-tracker.debian.org/tracker/CVE-2021-3908
https://security-tracker.debian.org/tracker/CVE-2021-3909
https://security-tracker.debian.org/tracker/CVE-2021-3910
https://security-tracker.debian.org/tracker/CVE-2021-3911
https://security-tracker.debian.org/tracker/CVE-2021-3912
https://security-tracker.debian.org/tracker/CVE-2021-43173
プラグインの詳細
深刻度: Critical
ID: 156636
ファイル名: debian_DSA-5041.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2022/1/12
更新日: 2022/1/12
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2021-3907
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:octorpki, cpe:/o:debian:debian_linux:11.0
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2022/1/11
脆弱性公開日: 2021/9/9
参照情報
CVE: CVE-2021-3761, CVE-2021-3907, CVE-2021-3908, CVE-2021-3909, CVE-2021-3910, CVE-2021-3911, CVE-2021-3912, CVE-2021-43173, CVE-2021-43174