Debian DSA-5041-1:cfrpki - セキュリティ更新

critical Nessus プラグイン ID 156636

概要

リモートの Debian ホストに 1 つまたは複数のセキュリティ関連の更新プログラムがありません。

説明

リモートのDebian 11 ホストには、dsa-5041 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- RPKI の CA 発行者が、1.3.0 より前の OctoRPKI を騙して無効な VRP MaxLength 値を放出させ、RTR セッションを終了させる可能性があります。攻撃者はこれを使用して、BGP ハイジャックを起動する前に、被害者のネットワーク (AS 13335-Cloudflare など) の RPKI Origin Validation を無効にすることができます。これは、通常の操作中に RPKI 無効として拒否されます。さらに、特定の展開では、RTR セッション自体が BGP ルーティングチャーンを引き起こし、可用性の問題を引き起こす可能性があります。 (CVE-2021-3761)

- OctoRPKI は、..を含むファイル名の URI をエスケープしません。これにより、リポジトリがファイルを作成する可能性があります (例:rsync: //example.org/repo/../../etc/cron.daily/evil.roa)。そしてベースキャッシュフォルダー外のディスクへ書き込まれます。これにより、OctoRPKI が実行されているホストマシンでリモートコードが実行される可能性があります。 (CVE-2021-3907)

- OctoRPKI は証明書チェーンの深さを制限しないため、CA がアドホックな方法で子を作成できるため、ツリートラバーサルが終了しません。 (CVE-2021-3908)

- OctoRPKI は接続の長さを制限しないため、slowloris DOS 攻撃が発生し、OctoRPKI が永久に待機する可能性があります。具体的には、OctoRPKI が HTTP リクエストを送信するリポジトリは、応答が返される前の 1 日間は接続を開いたままにしておきますが、新しいバイトをドリップフィードし続けて、接続を維持します。 (CVE-2021-3909)

- 無効な ROA (エンコードされたNUL (\0) 文字のみ) を返すリポジトリに遭遇すると、OctoRPKI がクラッシュします。 (CVE-2021-3910)

- リポジトリが返す ROA に含まれている IP アドレスのビットが多すぎる場合、OctoRPKI がクラッシュします。
(CVE-2021-3911)

- OctoRPKI は、リポジトリのコンテンツ全体をメモリにロードしようとします。GZIP 爆弾の場合は、メモリで解凍します。これにより、OctoRPKI がメモリ不足になる (したがってクラッシュする) リポジトリを作成することが可能になります。 (CVE-2021-3912)

- 0.10.2より前の NLnet Labs Routinator では、バイトを応答せずにゆっくりとドリップフィードすることで、RRDP リポジトリによって検証の実行が大幅に遅延し、接続が維持されます。これは、検証を効果的に停止させるために使用できます。Routinator には RRDP 接続に対して構成可能なタイムアウト値がありますが、このタイムアウトは完全なリクエストではなく、個々の読み取りまたは書き込み操作にのみ適用されていました。
したがって、RRDP リポジトリがタイムアウトになる前に少しデータを送信すると、リクエストが完了するまでの時間を継続的に延長する可能性があります。検証は RRDP リポジトリの更新が終了した後にのみ続行されるため、この遅延により検証が停止し、Routinator が古いデータセットの提供を継続したり、開始後最初の検証を直接実行する場合は、まったくデータが提供されなくなったりします。 (CVE-2021-43173)

- NLnet Labs Routinator のバージョン 0.9.0から 0.10.1までは、RRDP リポジトリへの問い合わせ時に gzip 転送エンコーディングをサポートします。このエンコーディングを RRDP リポジトリで使用すると、これらのバージョンの Routinator でメモリ不足によるクラッシュを引き起こす可能性があります。RRDP は XML を使用しており、エンコードされたデータに任意の量の空白を許可します。gzip スキームは、このような空白を非常に適切に圧縮するため、非常に小さな圧縮ファイルになりますが、次の処理のために解凍されると、次の XML 要素を待つために入力データを解析すると Routinator がメモリ不足になるほど巨大になります。(CVE-2021-43174)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。

ソリューション

cfrpki パッケージをアップグレードしてください。

安定版 (stable) ディストリビューション (bullseye) では、これらの問題はバージョン 1.4.2-1~deb11u1 で修正されています。

参考資料

https://security-tracker.debian.org/tracker/source-package/cfrpki

https://www.debian.org/security/2022/dsa-5041

https://security-tracker.debian.org/tracker/CVE-2021-3761

https://security-tracker.debian.org/tracker/CVE-2021-3907

https://security-tracker.debian.org/tracker/CVE-2021-3908

https://security-tracker.debian.org/tracker/CVE-2021-3909

https://security-tracker.debian.org/tracker/CVE-2021-3910

https://security-tracker.debian.org/tracker/CVE-2021-3911

https://security-tracker.debian.org/tracker/CVE-2021-3912

https://security-tracker.debian.org/tracker/CVE-2021-43173

https://security-tracker.debian.org/tracker/CVE-2021-43174

https://packages.debian.org/source/bullseye/cfrpki

プラグインの詳細

深刻度: Critical

ID: 156636

ファイル名: debian_DSA-5041.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2022/1/12

更新日: 2022/1/12

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2021-3907

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:octorpki

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/1/11

脆弱性公開日: 2021/9/9

参照情報

CVE: CVE-2021-3761, CVE-2021-3907, CVE-2021-3908, CVE-2021-3909, CVE-2021-3910, CVE-2021-3911, CVE-2021-3912, CVE-2021-43173, CVE-2021-43174