論文の概要: Poster: From Fort to Foe: The Threat of RCE in RPKI

• arxiv url: http://arxiv.org/abs/2411.16518v1
• Date: Mon, 25 Nov 2024 16:01:02 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-26 14:18:00.485073
• Title: Poster: From Fort to Foe: The Threat of RCE in RPKI
• Title（参考訳）: Poster:Fort to Foe: The Threat of RCE in RPKI
• Authors: Oliver Jacobsen, Haya Schulmann, Niklas Vogel, Michael Waidner,
• Abstract要約: 本稿では,RPKIバリデータFortに,バッファオーバーフローの脆弱性を新たに提示する。 この脆弱性により、アタッカーはソフトウェアを実行するマシン上でリモートコード実行を達成できる。
• 参考スコア（独自算出の注目度）: 16.84312626844573
• License:
• Abstract: In this work, we present a novel severe buffer-overflow vulnerability in the RPKI validator Fort, that allows an attacker to achieve Remote Code Execution (RCE) on the machine running the software. We discuss the unique impact of this RCE on networks that use RPKI, illustrating that RCE vulnerabilities are especially severe in the context of RPKI. The design of RPKI makes RCE easy to exploit on a large scale, allows compromise of RPKI validation integrity, and enables a powerful vector for additional attacks on other critical components of the network, like the border routers. We analyze the vulnerability exposing to this RCE and identify indications that the discovered vulnerability could constitute an intentional backdoor to compromise systems running the software over a benign coding mistake. We disclosed the vulnerability, which has been assigned a CVE rated 9.8 critical (CVE-2024-45237).
• Abstract（参考訳）: 本研究では,RPKIバリデータFortに,ソフトウェアを実行するマシン上で攻撃者がリモートコード実行(RCE)を達成可能な,新たなバッファオーバーフロー脆弱性を新たに提示する。 本稿では,RPKI を用いたネットワークに対するこの RCE のユニークな影響について論じ,RPKI の文脈において RCE の脆弱性が特に深刻であることを示す。 RPKIの設計は、RDCを大規模に活用しやすくし、RPKI検証の整合性の妥協を可能にし、境界ルータのようなネットワークの他の重要なコンポーネントに対する攻撃に強力なベクトルを可能にする。 我々は、このRACに暴露された脆弱性を分析し、発見された脆弱性が、良質なコーディングミスでソフトウェアを実行しているシステムを侵害する意図的なバックドアになる可能性があることを示す。 我々はこの脆弱性を公表し、CVEの9.8クリティカル(CVE-2024-45237)に指定した。

関連論文リスト

• In-Context Experience Replay Facilitates Safety Red-Teaming of Text-to-Image Diffusion Models [97.82118821263825]
  テキスト・ツー・イメージ(T2I)モデルは目覚ましい進歩を見せているが、有害なコンテンツを生成する可能性はまだMLコミュニティにとって重要な関心事である。 ICERは,解釈可能かつ意味論的に意味のある重要なプロンプトを生成する新しい赤チームフレームワークである。 我々の研究は、より堅牢な安全メカニズムをT2Iシステムで開発するための重要な洞察を提供する。
  論文  参考訳（メタデータ） (2024-11-25T04:17:24Z)
• RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
  RedCodeはリスクの高いコード実行と生成のためのベンチマークである。 RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。 RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
  論文  参考訳（メタデータ） (2024-11-12T13:30:06Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• The Vulnerability Is in the Details: Locating Fine-grained Information of Vulnerable Code Identified by Graph-based Detectors [33.395068754566935]
  VULEXPLAINERは、粗いレベルの脆弱なコードスニペットから脆弱性クリティカルなコード行を見つけるためのツールである。 C/C++の一般的な8つの脆弱性に対して、90%の精度で脆弱性をトリガするコードステートメントにフラグを付けることができる。
  論文  参考訳（メタデータ） (2024-01-05T10:15:04Z)
• CVE representation to build attack positions graphs [0.39945675027960637]
  サイバーセキュリティにおいて、CVE(Common Vulnerabilities and Exposures)は、ハードウェアまたはソフトウェアの脆弱性を公開している。 この記事では、これらの脆弱性は、完全な攻撃シナリオにおいてどのようにチェーン化されるのかを理解するために、より詳細に記述されるべきである、と指摘する。
  論文  参考訳（メタデータ） (2023-12-05T08:57:14Z)
• The CURE To Vulnerabilities in RPKI Validation [19.36803276657266]
  RPKIの採用は増加しており、主要なネットワークの37.8%がBGPルートをフィルタリングしている。 境界ルータのRPKIバリデーションをダウングレードするために、合計18の脆弱性を悪用できると報告する。 6億以上のテストケースを生成し、人気のあるRPをすべてテストしました。
  論文  参考訳（メタデータ） (2023-12-04T13:09:37Z)
• Execution at RISC: Stealth JOP Attacks on RISC-V Applications [0.5543867614999909]
  本稿では,RISC-Vが複雑なコード再利用攻撃のクラスであるJump-Oriented Programmingに適していることを示す。 RISC-V用にコンパイルされた組込みウェブサーバに概念実証攻撃を実行する。
  論文  参考訳（メタデータ） (2023-07-24T09:39:21Z)
• Safe RAN control: A Symbolic Reinforcement Learning Approach [62.997667081978825]
  本稿では,無線アクセスネットワーク(RAN)アプリケーションの安全管理のためのシンボル強化学習(SRL)アーキテクチャを提案する。 我々は、ユーザが所定のセルネットワークトポロジに対して高レベルの論理的安全性仕様を指定できる純粋に自動化された手順を提供する。 ユーザがシステムに意図仕様を設定するのを支援するために開発されたユーザインターフェース(UI)を導入し、提案するエージェントの動作の違いを検査する。
  論文  参考訳（メタデータ） (2021-06-03T16:45:40Z)
• Multi-context Attention Fusion Neural Network for Software Vulnerability Identification [4.05739885420409]
  ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。 モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。 提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
  論文  参考訳（メタデータ） (2021-04-19T11:50:36Z)
• Symbolic Reinforcement Learning for Safe RAN Control [62.997667081978825]
  無線アクセスネットワーク(RAN)アプリケーションにおける安全な制御のためのシンボリック強化学習(SRL)アーキテクチャを紹介します。 本ツールでは,LTL(Linear Temporal Logic)で表現された高レベルの安全仕様を選択して,所定のセルネットワーク上で動作しているRLエージェントをシールドする。 ユーザインタフェース(ui)を用いて,ユーザがインテントの仕様をアーキテクチャに設定し,許可されたアクションとブロックされたアクションの違いを検査する。
  論文  参考訳（メタデータ） (2021-03-11T10:56:49Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。