Con fecha 27 de febrero del 2023, han sido descubiertas múltiples vulnerabilidades de importancia Alta en implementaciones de DDS (Data Distribution Service) utilizadas por varios fabricantes:

Recursos afectados:
Distintas implementaciones de DDS (Data Distribution Service) utilizadas en varios fabricantes:

• eProsima FastDDS,
• ZettaScale Cyclone DDS,
• ZettaScale Open DDS.

Detalles
Las vulnerabilidades reportadas aplican al protocolo de comunicaciones DDS (Domain Distribution Service), ampliamente utilizado en robótica.
Existen vulnerabilidades en los recursos mencionados anteriormente, que podrían permitir a un atacante explotar atributos vulnerables en la configuración de la validación de certificados PKCS#7. Este problema se origina debido a una implementación no conforme de la verificación de documentos de permiso utilizada por algunos proveedores de DDS.

Se han asignado los siguientes identificadores CVE para cada producto afectado:

• eProsima FastDDS: CVE-2023-24010;
• ZettaScale Cyclone DDS: CVE-2023-24011;
• ZettaScale Open DDS: CVE-2023-24012.

Solución:
Se recomienda aplicar las mitigaciones de seguridad descritas en el siguiente enlace:
https://github.com/ros2/sros2/issues/282

Referencias
RVD#3345: Data Distribution Service Chain of Trust violation https://github.com/aliasrobotics/RVD/issues/3345
RVD#3346: Data Distribution Service Chain of Trust violation in Cyclone DDS https://github.com/aliasrobotics/RVD/issues/3346
RVD#3347: Data Distribution Service Chain of Trust violation in Open DDS https://github.com/aliasrobotics/RVD/issues/3347