Ga direct naar inhoud

Beveiligingsadvies kwetsbaarheden in RPKI-validatie software gepubliceerd (update)

Nieuwsbericht | 10-11-2021 | 15:08

Het NCSC coördineert een multi-party CVD-proces rondom kwetsbaarheden in RPKI-validatie software. Dit proces vraagt om brede, meervoudige afstemming met veel internationale partijen. Eerder dit jaar is het NCSC benaderd door onderzoekers die de kwetsbaarheden hebben gevonden met het verzoek om hen bij te staan in dit multi-party proces.In navolging van deze melding heeft het NCSC verschillende partijen op de hoogte gesteld van het bestaan van deze kwetsbaarheden. Samen met de betrokken partijen is gewerkt aan het vinden van een gezamenlijke datum waarop de updates beschikbaar konden worden gesteld.

Op dinsdag 9 november is door het NCSC een beveiligingsadvies (NCSC-2021-0987) over deze kwetsbaarheden uitgestuurd. In dit advies zijn ook de oplossingen van de verschillende ontwikkelaars van validatiesoftware opgenomen. De voorgestelde oplossingen van de ontwikkelaars vindt u onderaan dit bericht.

Het NCSC zal de ervaringen van dit traject inbrengen in de lopende discussie rondom multi-party disclosure om zo te kunnen blijven verbeteren en bij te dragen aan nationale- en internationale digitale veiligheid.

Overzicht oplossingen ontwikkelaars:

Cloudflare

Cloudflare heeft updates uitgebracht voor OctoRPKI om de kwetsbaarheden te verhelpen. Meer informatie vindt u hier.

FORT

De ontwikkelaar van FORT Validator hebben updates uitgebracht om de kwetsbaarheden te verhelpen. Meer informatie vindt u hier.

NLnet Labs

NLnet Labs heeft updates uitgebracht voor Routinator om de kwetsbaarheden te verhelpen. Meer informatie vindt u hier.

OpenBSD

De ontwikkelaars van OpenBSD hebben updates uitgebracht om de kwetsbaarheden te verhelpen in rpki-client 7.5. Voor meer informatie, zie link (OpenBSD Errata), link (rpki-client 7.5)

RIPE NCC

RIPE NCC heeft aangegeven dat RPKI Validator 3 sinds 1 juli 2021 niet meer wordt ondersteund en geen (beveiliging)updates meer ontvangt. Meer informatie over RPKI Validator 3 vindt u hier.

rpki-prover

De ontwikkelaars van rpki-prover hebben updates beschikbaar gesteld om de kwetsbaarheden te verhelpen. Meer informatie vindt u hier.