Job Snijders

**Nome do software vulnerável e versões afetadas** Versões do Fort 1.6.4 e anteriores, anteriores à 2.0.0 **Descrição** Foi detectada uma falha de integridade na validação do produto. Os manifestos RPKI, que são listas de arquivos relevantes que os clientes devem verificar, contêm os campos `manifestNumber` e `thisUpdate`. Esses campos podem ser usados para avaliar a relevância de um determinado manifesto quando comparado a outros manifestos. No entanto, o produto não compara a atualidade do manifesto obtido mais recentemente com o manifesto armazenado em cache, tornando-o suscetível a um retrocesso para uma versão anterior se for servido um manifesto válido, mas desatualizado. Isso leva a uma validação desatualizada da origem da rota. **Recomendações** Para as versões 1.6.4 e anteriores do Fort, anteriores à 2.0.0, atualize para a versão 2.0.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere implementar verificações de validação adicionais para garantir que a versão mais recente de um manifesto tenha prioridade sobre outras versões. Restrinja o acesso a manifestos desatualizados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do NLnet Labs Routinator anteriores à 0.10.0 **Descrição** O problema ocorre quando uma CA RPKI utiliza valores excessivamente grandes no parâmetro max-length dentro de um ROA, fazendo com que o NLnet Labs Routinator produza uma carga útil RTR inválida. Isso faz com que clientes RTR, como roteadores, rejeitem o conjunto de dados RPKI, o que efetivamente desativa a Validação da Origem da Rota. **Recomendações** Para versões anteriores à 0.10.0, atualize para a versão 0.10.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de valores grandes no parâmetro max-length nos ROAs para evitar a geração de cargas úteis RTR inválidas até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do OctoRPKI anteriores à 1.3.0 **Descrição** Qualquer emissor de CA no RPKI pode induzir o OctoRPKI a emitir um valor “MaxLength” inválido para o VRP, causando o encerramento das sessões RTR. Um invasor pode usar isso para desativar a validação de origem RPKI em uma rede vítima, por exemplo, AS 13335 - Cloudflare, antes de lançar um sequestro de BGP que, durante operações normais, seria rejeitado como “RPKI inválido”. Além disso, em certas implantações, a instabilidade da sessão RTR por si só também poderia causar instabilidade no roteamento BGP, causando problemas de disponibilidade. **Recomendações** Para versões do OctoRPKI anteriores à 1.3.0, atualize para a versão 1.3.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às sessões RTR para minimizar o risco de exploração. Evite usar o campo `MaxLength` no VRP até que o problema seja resolvido.