Cfrpki
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.04065
Распределение по критичности
Критический
1
Высокий
7
Средний
3
Низкий
0
Также сопоставлено как (исходные строки): cfrpki
Топ уязвимостей
CVE-2021-3907OctoRPKI не экранирует URI с именем файла, содержащим «..», это позволяет репозиторию создавать файл (например, rsync://example.org/repo/../../etc/cron.daily/evil.roa), который затем будет записан на диск за пределами базовой папки кэша. Это может позволить удаленное выполнение кода на хост-машине, на которой работает OctoRPKI.
CVE-2022-3616Злоумышленники могут создавать длинные цепочки центров сертификации, что приведет к превышению OctoRPKI максимального параметра итераций. Как следствие, это приведет к сбою программы, не позволит ей завершить проверку и приведет к отказу в обслуживании. Благодарим Donika Mirdita и Haya Shulman - Fraunhofer SIT, ATHENE, которые обнаружили и сообщили об этой уязвимости.
CVE-2021-43174NLnet Labs Routinator версии 0.9.0 до версии 0.10.1 включительно поддерживают кодировку передачи gzip при запросе RRDP-репозиториев. Эта кодировка может использоваться RRDP-репозиторием для вызова сбоя из-за нехватки памяти в этих версиях Routinator. RRDP использует XML, который допускает произвольное количество пробелов в закодированных данных. Схема gzip сжимает такие пробелы чрезвычайно хорошо, что приводит к очень маленьким сжатым файлам, которые становятся огромными при распаковке для дальнейшей обработки, достаточно большими, чтобы Routinator исчерпал память при анализе входных данных в ожидании следующего XML-элемента.
CVE-2021-43173В NLnet Labs Routinator до версии 0.10.2 запуск валидации может быть значительно задержан RRDP-репозиторием, который не отвечает, а медленно передает байты, чтобы поддерживать соединение активным. Это можно использовать для эффективной остановки валидации. Хотя Routinator имеет настраиваемое значение времени ожидания для RRDP-соединений, это время ожидания применялось только к отдельным операциям чтения или записи, а не к полному запросу. Таким образом, если RRDP-репозиторий отправляет немного данных до истечения этого времени ожидания, он может постоянно увеличивать время, необходимое для завершения запроса. Поскольку валидация будет продолжена только после завершения обновления RRDP-репозитория, эта задержка приведет к остановке валидации, в результате чего Routinator продолжит обслуживать старый набор данных или, если при первоначальном запуске валидации сразу после запуска, вообще не будет обслуживать никаких данных.
CVE-2021-3910OctoRPKI выходит из строя при обнаружении репозитория, который возвращает недействительный ROA (просто закодированный символ NUL (\0)).
CVE-2021-3909OctoRPKI не ограничивает длину соединения, что позволяет проводить slowloris DOS-атаку, из-за которой OctoRPKI ждет вечно. В частности, репозиторий, в который OctoRPKI отправляет HTTP-запросы, будет держать соединение открытым в течение дня, прежде чем будет возвращен ответ, но при этом будет добавлять новые байты, чтобы поддерживать соединение.
CVE-2021-3908OctoRPKI не ограничивает глубину цепочки сертификатов, что позволяет CA создавать дочерние элементы специальным образом, тем самым делая обход дерева бесконечным.
CVE-2021-3761Любой издатель CA в RPKI может обманом заставить OctoRPKI до версии 1.3.0 выдать недействительное значение VRP «MaxLength», что приведет к завершению сеансов RTR. Злоумышленник может использовать это для отключения проверки подлинности источника RPKI в сети жертвы (например, AS 13335 - Cloudflare) перед запуском BGP hijack, который во время нормальной работы был бы отклонен как «RPKI invalid». Кроме того, в определенных развертываниях колебание сеанса RTR само по себе также может вызвать колебание маршрутизации BGP, что приведет к проблемам с доступностью.
CVE-2021-3912OctoRPKI пытается загрузить все содержимое репозитория в память, а в случае GZIP-бомбы распаковать его в памяти, что позволяет создать репозиторий, из-за которого у OctoRPKI заканчивается память (и, следовательно, происходит сбой).
CVE-2021-3911Если ROA, возвращаемый репозиторием, содержит слишком много битов для IP-адреса, OctoRPKI выйдет из строя.
CVE-2021-3978При копировании файлов с помощью rsync, octorpki использует флаг "-a" 0, что заставляет rsync копировать двоичные файлы с установленным битом suid как root. Поскольку предоставленное определение службы по умолчанию использует root ( https://github.com/cloudflare/cfrpki/blob/master/package/octorpki.service ), это может позволить создать вектор, когда в сочетании с другой уязвимостью, которая заставляет octorpki обрабатывать злонамеренный файл TAL, для локального повышения привилегий.