Octorpki
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.04065
Распределение по критичности
Критический
1
Высокий
5
Средний
5
Низкий
0
Затронутые диапазоны версий
< 1.3.0< 1.4.0< 1.4.2< 1.4.4
Также сопоставлено как (исходные строки): octorpki
Топ уязвимостей
CVE-2021-3907OctoRPKI не экранирует URI с именем файла, содержащим «..», это позволяет репозиторию создавать файл (например, rsync://example.org/repo/../../etc/cron.daily/evil.roa), который затем будет записан на диск за пределами базовой папки кэша. Это может позволить удаленное выполнение кода на хост-машине, на которой работает OctoRPKI.
CVE-2022-3616Злоумышленники могут создавать длинные цепочки центров сертификации, что приведет к превышению OctoRPKI максимального параметра итераций. Как следствие, это приведет к сбою программы, не позволит ей завершить проверку и приведет к отказу в обслуживании. Благодарим Donika Mirdita и Haya Shulman - Fraunhofer SIT, ATHENE, которые обнаружили и сообщили об этой уязвимости.
CVE-2021-3910OctoRPKI выходит из строя при обнаружении репозитория, который возвращает недействительный ROA (просто закодированный символ NUL (\0)).
CVE-2021-3909OctoRPKI не ограничивает длину соединения, что позволяет проводить slowloris DOS-атаку, из-за которой OctoRPKI ждет вечно. В частности, репозиторий, в который OctoRPKI отправляет HTTP-запросы, будет держать соединение открытым в течение дня, прежде чем будет возвращен ответ, но при этом будет добавлять новые байты, чтобы поддерживать соединение.
CVE-2021-3908OctoRPKI не ограничивает глубину цепочки сертификатов, что позволяет CA создавать дочерние элементы специальным образом, тем самым делая обход дерева бесконечным.
CVE-2021-3761Любой издатель CA в RPKI может обманом заставить OctoRPKI до версии 1.3.0 выдать недействительное значение VRP «MaxLength», что приведет к завершению сеансов RTR. Злоумышленник может использовать это для отключения проверки подлинности источника RPKI в сети жертвы (например, AS 13335 - Cloudflare) перед запуском BGP hijack, который во время нормальной работы был бы отклонен как «RPKI invalid». Кроме того, в определенных развертываниях колебание сеанса RTR само по себе также может вызвать колебание маршрутизации BGP, что приведет к проблемам с доступностью.
CVE-2021-3912OctoRPKI пытается загрузить все содержимое репозитория в память, а в случае GZIP-бомбы распаковать его в памяти, что позволяет создать репозиторий, из-за которого у OctoRPKI заканчивается память (и, следовательно, происходит сбой).
CVE-2021-3911Если ROA, возвращаемый репозиторием, содержит слишком много битов для IP-адреса, OctoRPKI выйдет из строя.
CVE-2021-3978При копировании файлов с помощью rsync, octorpki использует флаг "-a" 0, что заставляет rsync копировать двоичные файлы с установленным битом suid как root. Поскольку предоставленное определение службы по умолчанию использует root ( https://github.com/cloudflare/cfrpki/blob/master/package/octorpki.service ), это может позволить создать вектор, когда в сочетании с другой уязвимостью, которая заставляет octorpki обрабатывать злонамеренный файл TAL, для локального повышения привилегий.
BDU:2022-05572Уязвимость RPKI-валидатора OctoRPKI связана с использованием нулевого значения при генерации объектов ROA (Route Origin Authorisation). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
BDU:2022-05571Уязвимость RPKI-валидатора OctoRPKI связана с отсутствием проверки возвращаемых данных при генерации объектов ROA (Route Origin Authorisation). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании