NCSC publica aviso de seguridad sobre vulnerabilidades en el software de validación RPKI (actualización) | Nuevos artículos
Noticia | 10-11-2021 | 15:16
El NCSC coordina un proceso de CVD multilateral en torno a las vulnerabilidades en el software de validación RPKI. Este proceso requiere una coordinación amplia y múltiple con muchas partes internacionales. Investigadores se acercaron al NCSC a principios de este año y encontraron las vulnerabilidades con la solicitud de ayudarlos en este proceso multipartidista. Tras la solicitud, el NCSC ha informado a varias partes de la existencia de estas vulnerabilidades. El NCSC trabajó junto con las partes involucradas para encontrar una fecha adecuada en la que las actualizaciones pudieran estar disponibles.
El martes 9 de noviembre, el NCSC emitió un aviso de seguridad (NCSC-2021-0987) sobre estas vulnerabilidades. El aviso también incluye las soluciones de los distintos desarrolladores de software de validación. Las soluciones sugeridas por los desarrolladores se pueden encontrar al final de esta publicación.
El NCSC aportará las experiencias de este proceso a la discusión en curso sobre la divulgación multipartita para continuar mejorando y contribuyendo a la seguridad digital nacional e internacional.
Descripción general de los desarrolladores de soluciones:
Llamarada de nube
Cloudflare ha lanzado actualizaciones de OctoRPKI para abordar las vulnerabilidades. Para más información, ver enlace.
FUERTE
Los desarrolladores de FORT Validator han publicado actualizaciones para corregir las vulnerabilidades. Para más información, ver enlace.
Laboratorios NLnet
NLnet Labs ha publicado actualizaciones para Routinator para corregir las vulnerabilidades. Para más información, ver enlace.
OpenBSD
Los desarrolladores de OpenBSD han publicado actualizaciones para abordar las vulnerabilidades en el cliente rpki 7.5. Para más información, ver enlace (Erratas de OpenBSD), enlace (cliente rpki 7.5)
NCC maduro
RIPE NCC ha indicado que RPKI Validator 3 ya no es compatible desde el 1 de julio de 2021 y ya no recibirá actualizaciones (de seguridad). Para obtener más información sobre el validador RPKI 3, consulte enlace
muestras de rpki
Los desarrolladores de rpki-prover han publicado actualizaciones para abordar las vulnerabilidades. Para más información, ver enlace