El 14 de gener de 2026, el projecte OpenBSD va publicar l’errata 012 per a OpenBSD 7.8, que corregeix dues vulnerabilitats de denegació de servei (DoS) a rpki-client, l’eina oficial d’OpenBSD per validar l’origen de les rutes BGP mitjançant la infraestructura de clau pública de recursos (RPKI, Resource Public Key Infrastructure).
Què és rpki-client i per què importa
rpki-client és un validador RPKI que descarrega i comprova els certificats i objectes signats publicats pels registres regionals d’Internet (RIR) i per les diferents Autoritats de Certificació (CA). A partir d’aquestes dades genera les afirmacions de validesa d’origen de ruta (ROA) que els routers utilitzen per decidir si accepten o rebutgen anuncis BGP. És una peça clau en el desplegament de la RPKI Route Origin Validation, una de les defenses més esteses contra els segrestos de rutes (BGP hijacking) i els anuncis de prefixos accidentals o maliciosos.
Com que rpki-client processa dades remotes que provenen de tercers (qualsevol CA dins de la jerarquia RPKI), la seva robustesa davant d’entrades hostils és essencial: un error en el validador pot deixar un operador sense dades de validació actualitzades.
Les dues vulnerabilitats
L’errata 012 descriu dos problemes diferents, tots dos de caràcter de denegació de servei:
-
Desreferència de punter NULL provocada per una CA RPKI maliciosa. Una Autoritat de Certificació dins de la jerarquia RPKI pot publicar objectes manipulats que, en ser processats per rpki-client, desencadenen una desreferència de punter NULL i la consegüent fallada del procés de validació.
-
Esgotament de memòria provocat per un Trust Anchor RPKI maliciós. Un Trust Anchor (àncora de confiança) maliciós pot induir rpki-client a consumir memòria de manera descontrolada, esgotant els recursos del sistema i aturant de nou la validació.
En ambdós casos l’impacte és la interrupció del servei de validació RPKI, no l’execució de codi ni la fuita d’informació. El risc pràctic és que un operador deixi de rebre dades de validació fiables, cosa que pot degradar la protecció de la seva política BGP davant d’anuncis invàlids.
A qui afecta i gravetat
El problema afecta els sistemes OpenBSD 7.8 que executen rpki-client. La severitat és mitjana: es tracta d’errors de disponibilitat explotables per participants maliciosos de l’ecosistema RPKI, sense que comprometin la confidencialitat ni la integritat del sistema. No s’ha publicat cap identificador CVE associat a aquesta errata.
Aquests mateixos errors es van corregir també a la versió rpki-client 9.7, distribuïda de manera portable per a altres sistemes operatius que utilitzen aquesta eina fora d’OpenBSD.
Mitigació i pedaç
La recomanació és aplicar l’errata 012 mitjançant el mecanisme habitual de pedaços d’OpenBSD. En sistemes amb syspatch disponible:
syspatchEls qui compilen des de codi font han d’aplicar el pedaç oficial publicat a la pàgina d’erratas i recompilar rpki-client. Els usuaris de la versió portable han d’actualitzar a rpki-client 9.7 o posterior. Després d’aplicar el pedaç convé reiniciar el procés de validació per assegurar que s’executa el binari corregit.
Si t’interessa la seguretat dels sistemes BSD, pots consultar la fitxa d’OpenBSD per conèixer el seu model de seguretat per defecte.