CVE-2021-43174

NLnet Labs Routinator, versões 0.9.0 até e incluindo 0.10.1

O problema diz respeito ao suporte à codificação de transferência gzip no NLnet Labs Routinator ao consultar repositórios RRDP. Essa codificação pode ser explorada por um repositório RRDP para causar uma falha por falta de memória nas versões afetadas do Routinator. O RRDP utiliza XML, o que permite quantidades arbitrárias de espaços em branco nos dados codificados. O esquema gzip compacta esses espaços em branco extremamente bem, resultando em arquivos compactados muito pequenos que se tornam enormes ao serem descompactados para processamento posterior, fazendo com que o Routinator fique sem memória ao analisar os dados de entrada enquanto aguarda o próximo elemento XML.

Para as versões 0.9.0 a 0.10.1, inclusive, do Routinator da NLnet Labs, considere desativar o suporte à codificação de transferência gzip ao consultar repositórios RRDP como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a repositórios RRDP que possam explorar essa vulnerabilidade para minimizar o risco de uma falha por falta de memória. Evite usar o esquema gzip para compactar dados em repositórios RRDP até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.