Koen Van Der Hove

**Nome do software vulnerável e versões afetadas** Versões do NLnet Labs Routinator anteriores à 0.10.2 **Descrição** Uma execução de validação pode ser significativamente atrasada por um repositório RRDP que, em vez de responder, envia bytes lentamente para manter a conexão ativa. Isso pode ser usado para efetivamente atrasar a validação. Embora o Routinator tenha um valor de tempo limite configurável para conexões RRDP, esse tempo limite era aplicado apenas a operações individuais de leitura ou gravação, e não à solicitação completa. Assim, se um repositório RRDP enviar uma pequena quantidade de dados antes que esse tempo limite expire, ele pode prolongar continuamente o tempo necessário para que a solicitação seja concluída. Como a validação só continuará após a conclusão da atualização de um repositório RRDP, esse atraso fará com que a validação seja interrompida, levando o Routinator a continuar servindo o conjunto de dados antigo ou, se estiver na execução de validação inicial logo após o início, a nunca servir nenhum dado. **Recomendações** Para versões do NLnet Labs Routinator anteriores à 0.10.2, atualize para a versão 0.10.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere ajustar o valor configurável de tempo limite para conexões RRDP para um valor menor, a fim de minimizar o risco de paralisação da validação. Além disso, restrinja o acesso a repositórios RRDP que possam ser usados para explorar essa vulnerabilidade até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** NLnet Labs Routinator, versões 0.9.0 até e incluindo 0.10.1 **Descrição** O problema diz respeito ao suporte à codificação de transferência gzip no NLnet Labs Routinator ao consultar repositórios RRDP. Essa codificação pode ser explorada por um repositório RRDP para causar uma falha por falta de memória nas versões afetadas do Routinator. O RRDP utiliza XML, o que permite quantidades arbitrárias de espaços em branco nos dados codificados. O esquema gzip compacta esses espaços em branco extremamente bem, resultando em arquivos compactados muito pequenos que se tornam enormes ao serem descompactados para processamento posterior, fazendo com que o Routinator fique sem memória ao analisar os dados de entrada enquanto aguarda o próximo elemento XML. **Recomendações** Para as versões 0.9.0 a 0.10.1, inclusive, do Routinator da NLnet Labs, considere desativar o suporte à codificação de transferência gzip ao consultar repositórios RRDP como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a repositórios RRDP que possam explorar essa vulnerabilidade para minimizar o risco de uma falha por falta de memória. Evite usar o esquema gzip para compactar dados em repositórios RRDP até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.