Con fecha 27 de febrero del 2023, han sido descubiertas múltiples vulnerabilidades de importancia Alta en implementaciones de DDS (Data Distribution Service) utilizadas por varios fabricantes:
Recursos afectados:
Distintas implementaciones de DDS (Data Distribution Service) utilizadas en varios fabricantes:
- eProsima FastDDS,
- ZettaScale Cyclone DDS,
- ZettaScale Open DDS.
Detalles
Las vulnerabilidades reportadas aplican al protocolo de comunicaciones DDS (Domain Distribution Service), ampliamente utilizado en robótica.
Existen vulnerabilidades en los recursos mencionados anteriormente, que podrían permitir a un atacante explotar atributos vulnerables en la configuración de la validación de certificados PKCS#7. Este problema se origina debido a una implementación no conforme de la verificación de documentos de permiso utilizada por algunos proveedores de DDS.
Se han asignado los siguientes identificadores CVE para cada producto afectado:
- eProsima FastDDS: CVE-2023-24010;
- ZettaScale Cyclone DDS: CVE-2023-24011;
- ZettaScale Open DDS: CVE-2023-24012.
Solución:
Se recomienda aplicar las mitigaciones de seguridad descritas en el siguiente enlace:
https://github.com/ros2/sros2/issues/282
Referencias
- RVD#3345: Data Distribution Service (DDS) Chain of Trust (CoT) violation (https://github.com/aliasrobotics/RVD/issues/3345)
- RVD#3346: Data Distribution Service (DDS) Chain of Trust (CoT) violation in Cyclone DDS (https://github.com/aliasrobotics/RVD/issues/3346)
- RVD#3347: Data Distribution Service (DDS) Chain of Trust (CoT) violation in Open DDS (https://github.com/aliasrobotics/RVD/issues/3347)
Comentarios recientes