Debian dla-4066:fort-validator - 安全更新
critical Nessus 插件 ID 216672
语言:
简介
远程 Debian 主机上缺少一个或多个与安全相关的更新。描述
远程 Debian 11 主机上安装的多个程序包受到 dla-4066 公告中提及的多个漏洞影响。------------------------------------------------------------------------- Debian LTS 公告 DLA-4066-1 [email protected] https://www.debian.org/lts/security/Daniel Leidert 2025 年 2 月 24 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
程序包:fort-validator 版本:1.5.3-1~deb11u2 CVE ID:CVE-2024-45234 CVE-2024-45235 CVE-2024-45236 CVE-2024-45237 CVE-2024-45238 CVE-2024-45239 CVE-2024-48943
在 fort-validator(一种 RPKI 验证器和 RTR 服务器)中发现多个漏洞。
CVE-2024-45234
从(受信任的)Trust Anchor 派生的恶意 RPKI 存储库可(通过 rsync 或 RRDP)提供 ROA 或包含以非规范形式编码的 signedAttrs 的清单。它会绕过 Fort 的 BER 解码器,造成代码中出现遇到未以 DER 编码的数据时会发生的错误。由于 Fort 是 RPKI 依赖方,因此错误可导致路由源验证 (Route Origin Validation) 不可用,进而造成路由受损。
CVE-2024-45235
自(受信任)Trust Anchor 派生的恶意 RPKI 存储库可(通过 rsync 或 RRDP)提供包含缺少 keyIdentifier 字段的颁发机构密钥标识符扩展的资源证书。Fort 没有在引用此指针前先执行审查。由于 Fort 是 RPKI 依赖方,因此系统崩溃可导致路由源验证 (Route Origin Validation) 不可用,进而造成路由受损。
CVE-2024-45236
从(受信任的)Trust Anchor 派生的恶意 RPKI 存储库可(通过 rsync 或 RRDP)提供包含空 signedAttributes 字段的签名对象。Fort 没有在访问此集合的元素前先执行审查。由于 Fort 是 RPKI 依赖方,因此系统崩溃可导致路由源验证 (Route Origin Validation) 不可用,进而造成路由受损。
CVE-2024-45237
自(受信任)Trust Anchor 派生的恶意 RPKI 存储库可(通过 rsync 或 RRDP)提供包含由两个以上字节数据构成的密钥用途扩展的资源证书。Fort 在未正确审查长度的情况下将此字符串写入大小为 2 个字节的缓冲区,从而导致缓冲区溢出。
CVE-2024-45238
从(受信任的)Trust Anchor 派生的恶意 RPKI 存储库可以(通过 rsync 或 RRDP)提供包含未正确解码为主体公钥的位字符串的资源证书。OpenSSL 在解析过程中不会报告此问题,而且使用低于版本 3 的 OpenSSL libcrypto 进行编译时,Fort 会轻率地取消引用该指针。由于 Fort 是 RPKI 依赖方,因此系统崩溃可导致路由源验证 (Route Origin Validation) 不可用,进而造成路由受损。
CVE-2024-45239
从(受信任的)Trust Anchor 派生的恶意 RPKI 存储库可(通过 rsync 或 RRDP)提供 ROA 或包含 eContent 字段值为 Null 的清单。Fort 没有先执行审查就取消引用该指针。由于 Fort 是 RPKI 依赖方,因此系统崩溃可导致路由源验证 (Route Origin Validation) 不可用,进而造成路由受损。
CVE-2024-48943
恶意 RPKI rsync 存储库可通过注入内容来阻止 Fort 完成其验证运行。验证延迟可导致路由源验证过时或不可用。
对于 Debian 11 bullseye,这些问题已在 1.5.3-1~deb11u2 版本中修复。
我们建议您升级 fort-validator 程序包。
如需了解 fort-validator 的详细安全状态,请参阅其安全跟踪页面:
https://security-tracker.debian.org/tracker/fort-validator
有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址:https://wiki.debian.org/LTS
附件:
signature.asc 描述:这是经数字签名的消息部分
Tenable 已直接从 Debian 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 fort-validator 程序包。另见
http://www.nessus.org/u?a04ffe16
https://security-tracker.debian.org/tracker/CVE-2024-45234
https://security-tracker.debian.org/tracker/CVE-2024-45235
https://security-tracker.debian.org/tracker/CVE-2024-45236
https://security-tracker.debian.org/tracker/CVE-2024-45237
https://security-tracker.debian.org/tracker/CVE-2024-45238
https://security-tracker.debian.org/tracker/CVE-2024-45239
插件详情
严重性: Critical
ID: 216672
文件名: debian_DLA-4066.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/2/23
最近更新时间: 2025/2/23
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2024-45237
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:fort-validator
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2025/2/24
漏洞发布日期: 2024/8/24
参考资料信息
CVE: CVE-2024-45234, CVE-2024-45235, CVE-2024-45236, CVE-2024-45237, CVE-2024-45238, CVE-2024-45239, CVE-2024-48943