Debian DSA-5041-1：cfrpki - 安全性更新

critical Nessus Plugin ID 156636

語系：

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11 主機上安裝的套件受到 dsa-5041 公告中提及的多個弱點影響。

- RPKI 中的任何 CA 簽發者都可誘騙 1.3.0 之前的 OctoRPKI 發出無效的 VRP MaxLength 值，進而造成 RTR 工作階段終止。攻擊者可利用此弱點，在啟動 BGP 劫持之前，停用受害網路 (例如 AS 13335 - Cloudflare) 中的 RPKI 來源驗證，該劫持在正常作業期間會因為 RPKI 無效而遭到拒絕。此外，在某些部署中，RTR 工作階段本身發生變動也會造成 BGP 路由變動，進而造成可用性問題。(CVE-2021-3761)

- OctoRPKI 不會逸出檔案名稱中包含「..」的 URI，存放庫可藉此弱點建立檔案 (例如 rsync: //example.org/repo/../../etc/cron.daily/evil.roa)，然後將其寫入基本快取資料夾之外的磁碟。而這將允許在執行 OctoRPKI 的主機上執行遠端程式碼。(CVE-2021-3907)

- OctoRPKI 未限制憑證鏈結的深度，允許 CA 以特別方式建立子項，從而使樹狀結構遊走永無止境。(CVE-2021-3908)

- OctoRPKI 未限制連線長度，進而允許發動 slowloris DOS 攻擊，以使 OctoRPKI 永遠處於等待狀態。具體而言，接收 OctoRPKI 傳送之 HTTP 要求的存放庫會保持連線在一天內持續開啟，然後再傳回回應，但會在此期間繼續提供新的位元組以使連線持續作用。(CVE-2021-3909)

- 遇到傳回無效 ROA (僅編碼的 NUL (\0) 字元) 的存放庫時，OctoRPKI 會損毀。(CVE-2021-3910)

- 如果存放庫傳回的 ROA 包含過多 IP 位址位元，則 OctoRPKI 會損毀。
(CVE-2021-3911)

- OctoRPKI 嘗試在記憶體中載入存放庫的全部內容，如果發生 GZIP 炸彈，則將其解壓縮到記憶體中，進而可能建立會讓 OctoRPKI 耗盡記憶體 (並因此損毀) 的存放庫。(CVE-2021-3912)

- 在早於 0.10.2 版的 NLnet Labs Routerator 中，RRDP 存放庫可大幅延遲執行驗證，採用的方法是不回應但緩慢提供位元組以使連線持續作用。這可用於有效懸置驗證。雖然 Routizer 中有一個可設定的 RRDP 連線逾時值，但此逾時只會套用至個別的讀取或寫入作業，而非完整的要求。
因此，如果 RRDP 存放庫在該逾時到期之前傳送了少許資料，它會持續延長完成要求所需的時間。由於只有在 RRDP 存放庫的更新結束後才會繼續進行驗證，因此該延遲將導致驗證懸置，進而導致 Routizer 繼續提供舊的資料集；或者，如果在啟動後直接執行初始驗證，Routizer 將不會提供任何資料。(CVE-2021-43173)

- NLnet Labs Routingator 0.9.0 至 0.10.1 (含) 版在查詢 RRDP 存放庫時支援 gzip 傳輸編碼。RRDP 存放庫可使用此編碼在這些版本的 Routerator 中造成因記憶體不足導致損毀。RRDP 使用允許在編碼資料中使用任意數量空白字元的 XML。gzip 配置可非常好地壓縮此類空白字元，導致非常小的壓縮檔案在解壓縮以供進一步處理時變得巨大，大到足以造成 Routinator 在剖析等待下一個 XML 元素的輸入資料時耗盡記憶體。(CVE-2021-43174)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。