CVE-2021-43172

Versões do NLnet Labs Routinator anteriores à 0.10.2

O problema diz respeito ao NLnet Labs Routinator, no qual uma CA maliciosa pode criar uma cadeia de CAs de comprimento praticamente infinito ao gerar continuamente uma nova CA filha que consiste apenas em outra CA, utilizando um repositório RRDP diferente. Isso faz com que o Routinator nunca conclua uma execução de validação, levando-o a continuar servindo o conjunto de dados antigo ou a nunca servir nenhum dado. Além disso, a codificação de transferência gzip pode ser usada por um repositório RRDP para causar uma falha por falta de memória nas versões afetadas do Routinator. Ademais, um repositório RRDP pode atrasar significativamente uma execução de validação ao não responder, mas enviar bytes lentamente para manter a conexão ativa, efetivamente paralisando a validação.

Para versões do Routinator da NLnet Labs anteriores à 0.10.2, atualize para a versão 0.10.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o comprimento das cadeias de repositórios RRDP e implementar medidas para evitar falhas por falta de memória decorrentes da codificação de transferência gzip. Além disso, configure o valor de tempo limite para conexões RRDP de modo que se aplique à solicitação completa, em vez de operações individuais de leitura ou gravação, para evitar o bloqueio da validação.