Vulnerabilidad en una cadena de repositorios RRDP de longitud infinita en NLnet Labs Routinator (CVE-2021-43172)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/11/2021
Última modificación:
25/04/2022
Descripción
NLnet Labs Routinator versiones anteriores a 0.10.2 procesa felizmente una cadena de repositorios RRDP de longitud infinita causando que nunca termine una ejecución de comprobación. En RPKI, una CA puede elegir el repositorio RRDP en el que desea publicar sus datos. Al generar continuamente una nueva CA hija que sólo consiste en otra CA que usa un repositorio RRDP diferente, una CA maliciosa puede crear una cadena de CAs de longitud infinita de facto. Routinator versiones anteriores a 0.10.2, no contenía un límite en la longitud de dicha cadena y por lo tanto continuará procesando esta cadena para siempre. Como resultado, la ejecución de comprobación nunca terminará, conllevando a que Routinator continúe sirviendo el antiguo conjunto de datos o, si en la ejecución de comprobación inicial directamente después de comenzar, nunca sirva ningún dato
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nlnetlabs:routinator:*:*:*:*:*:*:*:* | 0.10.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página