CVE-2024-45237

Nome do software vulnerável e versões afetadas:

Versões do Fort anteriores à 1.6.3

Descrição:

O problema está relacionado a um estouro de buffer na pilha devido à sanitização inadequada do comprimento de uma extensão Key Usage em um certificado de recurso fornecido por um repositório RPKI malicioso. Isso pode permitir que um invasor remoto execute código arbitrário. Um repositório RPKI malicioso descendente de uma âncora de confiança (Trust Anchor) pode fornecer um certificado de recurso contendo uma extensão Key Usage composta por mais de dois bytes de dados, que o Fort grava em um buffer de 2 bytes sem sanitizar adequadamente seu comprimento, levando a um estouro de buffer.

Recomendações:

Para versões anteriores à 1.6.3, atualize para a versão 1.6.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao repositório RPKI ou desativar o uso de certificados de recurso com extensões Key Usage até que um patch esteja disponível. Evite usar a extensão Key Usage em certificados de recurso fornecidos por repositórios RPKI até que o problema seja resolvido.