Debian DSA-5041-1:cfrpki - 安全性更新

critical Nessus Plugin ID 156636

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11 主機上安裝的套件受到 dsa-5041 公告中提及的多個弱點影響。

- RPKI 中的任何 CA 簽發者都可誘騙 1.3.0 之前的 OctoRPKI 發出無效的 VRP MaxLength 值,進而造成 RTR 工作階段終止。攻擊者可利用此弱點,在啟動 BGP 劫持之前,停用受害網路 (例如 AS 13335 - Cloudflare) 中的 RPKI 來源驗證,該劫持在正常作業期間會因為 RPKI 無效而遭到拒絕。此外,在某些部署中,RTR 工作階段本身發生變動也會造成 BGP 路由變動,進而造成可用性問題。(CVE-2021-3761)

- OctoRPKI 不會逸出檔案名稱中包含「..」的 URI,存放庫可藉此弱點建立檔案 (例如 rsync: //example.org/repo/../../etc/cron.daily/evil.roa),然後將其寫入基本快取資料夾之外的磁碟。而這將允許在執行 OctoRPKI 的主機上執行遠端程式碼。(CVE-2021-3907)

- OctoRPKI 未限制憑證鏈結的深度,允許 CA 以特別方式建立子項,從而使樹狀結構遊走永無止境。(CVE-2021-3908)

- OctoRPKI 未限制連線長度,進而允許發動 slowloris DOS 攻擊,以使 OctoRPKI 永遠處於等待狀態。具體而言,接收 OctoRPKI 傳送之 HTTP 要求的存放庫會保持連線在一天內持續開啟,然後再傳回回應,但會在此期間繼續提供新的位元組以使連線持續作用。(CVE-2021-3909)

- 遇到傳回無效 ROA (僅編碼的 NUL (\0) 字元) 的存放庫時,OctoRPKI 會損毀。(CVE-2021-3910)

- 如果存放庫傳回的 ROA 包含過多 IP 位址位元,則 OctoRPKI 會損毀。
(CVE-2021-3911)

- OctoRPKI 嘗試在記憶體中載入存放庫的全部內容,如果發生 GZIP 炸彈,則將其解壓縮到記憶體中,進而可能建立會讓 OctoRPKI 耗盡記憶體 (並因此損毀) 的存放庫。(CVE-2021-3912)

- 在早於 0.10.2 版的 NLnet Labs Routerator 中,RRDP 存放庫可大幅延遲執行驗證,採用的方法是不回應但緩慢提供位元組以使連線持續作用。這可用於有效懸置驗證。雖然 Routizer 中有一個可設定的 RRDP 連線逾時值,但此逾時只會套用至個別的讀取或寫入作業,而非完整的要求。
因此,如果 RRDP 存放庫在該逾時到期之前傳送了少許資料,它會持續延長完成要求所需的時間。由於只有在 RRDP 存放庫的更新結束後才會繼續進行驗證,因此該延遲將導致驗證懸置,進而導致 Routizer 繼續提供舊的資料集;或者,如果在啟動後直接執行初始驗證,Routizer 將不會提供任何資料。(CVE-2021-43173)

- NLnet Labs Routingator 0.9.0 至 0.10.1 (含) 版在查詢 RRDP 存放庫時支援 gzip 傳輸編碼。RRDP 存放庫可使用此編碼在這些版本的 Routerator 中造成因記憶體不足導致損毀。RRDP 使用允許在編碼資料中使用任意數量空白字元的 XML。gzip 配置可非常好地壓縮此類空白字元,導致非常小的壓縮檔案在解壓縮以供進一步處理時變得巨大,大到足以造成 Routinator 在剖析等待下一個 XML 元素的輸入資料時耗盡記憶體。(CVE-2021-43174)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級 cfrpki 套件。

針對穩定的發行版本 (bullseye),這些問題已在 1.4.2-1~deb11u1 版本中修正。

另請參閱

https://security-tracker.debian.org/tracker/source-package/cfrpki

https://www.debian.org/security/2022/dsa-5041

https://security-tracker.debian.org/tracker/CVE-2021-3761

https://security-tracker.debian.org/tracker/CVE-2021-3907

https://security-tracker.debian.org/tracker/CVE-2021-3908

https://security-tracker.debian.org/tracker/CVE-2021-3909

https://security-tracker.debian.org/tracker/CVE-2021-3910

https://security-tracker.debian.org/tracker/CVE-2021-3911

https://security-tracker.debian.org/tracker/CVE-2021-3912

https://security-tracker.debian.org/tracker/CVE-2021-43173

https://security-tracker.debian.org/tracker/CVE-2021-43174

https://packages.debian.org/source/bullseye/cfrpki

Plugin 詳細資訊

嚴重性: Critical

ID: 156636

檔案名稱: debian_DSA-5041.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2022/1/12

已更新: 2022/1/12

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2021-3907

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:octorpki

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/1/11

弱點發布日期: 2021/9/9

參考資訊

CVE: CVE-2021-3761, CVE-2021-3907, CVE-2021-3908, CVE-2021-3909, CVE-2021-3910, CVE-2021-3911, CVE-2021-3912, CVE-2021-43173, CVE-2021-43174