Logo NCSC
NCSC | Beveiligingsadviezen

Beveiligingsadviezen

Download

Beveilingsadvies; NCSC-2021-0987

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden aangetroffen in RPKI-validators
Advisory ID     : NCSC-2021-0987
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2021-3910, CVE-2021-3911, CVE-2021-43172,
                  CVE-2021-43173, CVE-2021-43174
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : medium
                  Denial-of-Service (DoS)
Uitgiftedatum   : 20211110
Toepassing      : Cloudflare OctoRPKI
                  FORT Validator
                  NLnet Labs Routinator
                  OpenBSD rpki-client
                  RIPE NCC RPKI Validator
                  RPSTIR2
                  rpki-prover
Versie(s)       :
Platform(s)     :

Update
   Cloudflare en NLnet Labs hebben updates voor OctoRPKI en Routinator
   beschikbaar gesteld om de kwetsbaarheden te verhelpen. Ook door de
   ontwikkelaars van rpki-prover zijn updates beschikbaar gesteld. Zie
   "Mogelijke oplossingen" voor meer informatie.

Beschrijving
   Onderzoekers van de Universiteit Twente hebben kwetsbaarheden
   aangetroffen in diverse RPKI-validators. RPKI-validators worden
   gebruikt om te valideren dat een route die via BGP wordt verspreid
   afkomstig is van een AS dat geautoriseerd is om deze route te
   verspreiden.

   De kwetsbaarheden maken het voor een ongeauthenticeerde
   kwaadwillende mogelijk om een Denial-of-Service (DoS) op de
   RPKI-validator te veroorzaken. Dit heeft tot gevolg dat routes niet
   meer door RPKI worden gevalideerd. Voor het valideren van BGP-routes
   wordt daardoor teruggevallen op andere (mogelijk onveiligere)
   validatietechnieken.

   Voor de kwetsbaarheden zijn nog geen CVE-kenmerken beschikbaar
   gesteld. Niet elke RPKI-validator is voor elk van de door de
   onderzoeker gevonden kwetsbaarheden kwetsbaar.

Mogelijke oplossingen
   -= Cloudflare =-
   Cloudflare heeft updates uitgebracht voor OctoRPKI om de
   kwetsbaarheden te verhelpen. Voor meer informatie, zie:

   https://github.com/cloudflare/cfrpki/releases/tag/v1.4.0

   -= FORT =-
   De ontwikkelaar van FORT Validator hebben updates uitgebracht om de
   kwetsbaarheden te verhelpen. Voor meer informatie, zie:

   https://github.com/NICMx/FORT-validator/releases/tag/1.5.3

   -= NLnet Labs =-
   NLnet Labs heeft updates uitgebracht voor Routinator om de
   kwetsbaarheden te verhelpen. Voor meer informatie, zie:

   https://www.nlnetlabs.nl/news/2021/Nov/09/routinator-0.10.2-released
      /

   -= OpenBSD =-
   De ontwikkelaars van OpenBSD hebben updates uitgebracht om de
   kwetsbaarheden te verhelpen in rpki-client 7.5. Voor meer
   informatie, zie:

   https://marc.info/?l=openbsd-tech&m=163646702631430
   https://marc.info/?l=openbsd-tech&m=163646660131121

   -= RIPE NCC =-
   RIPE NCC heeft aangegeven dat RPKI Validator 3 sinds 1 juli 2021
   niet meer wordt ondersteund en geen (beveiliging)updates meer
   ontvangt. Voor meer informatie over RPKI Validator 3, zie:

   https://github.com/RIPE-NCC/rpki-validator-3

   -= rpki-prover =-
   De ontwikkelaars van rpki-prover hebben updates beschikbaar gesteld
   om de kwetsbaarheden te verhelpen. Voor meer informatie, zie:

   https://github.com/lolepezy/rpki-prover/releases/tag/v0.2.0-6201cf49

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=pUSe
-----END PGP SIGNATURE-----