El 14 de enero de 2026, el proyecto OpenBSD publicó la errata 012 para OpenBSD 7.8, que corrige dos vulnerabilidades de denegación de servicio (DoS) en rpki-client, la herramienta oficial de OpenBSD para validar el origen de las rutas BGP mediante la infraestructura de clave pública de recursos (RPKI, Resource Public Key Infrastructure).
Qué es rpki-client y por qué importa
rpki-client es un validador RPKI que descarga y comprueba los certificados y objetos firmados publicados por los registros regionales de Internet (RIR) y por las distintas Autoridades de Certificación (CA). A partir de esos datos genera las afirmaciones de validez de origen de ruta (ROA) que los routers utilizan para decidir si aceptan o rechazan anuncios BGP. Es una pieza clave en el despliegue de RPKI Route Origin Validation, una de las defensas más extendidas contra los secuestros de rutas (BGP hijacking) y los anuncios de prefijos accidentales o maliciosos.
Como rpki-client procesa datos remotos que provienen de terceros (cualquier CA dentro de la jerarquía RPKI), su robustez frente a entradas hostiles es esencial: un fallo en el validador puede dejar a un operador sin datos de validación actualizados.
Las dos vulnerabilidades
La errata 012 describe dos problemas distintos, ambos de carácter de denegación de servicio:
-
Desreferencia de puntero NULL provocada por una CA RPKI maliciosa. Una Autoridad de Certificación dentro de la jerarquía RPKI puede publicar objetos manipulados que, al ser procesados por rpki-client, desencadenan una desreferencia de puntero NULL y el consiguiente fallo del proceso de validación.
-
Agotamiento de memoria provocado por un Trust Anchor RPKI malicioso. Un Trust Anchor (ancla de confianza) malicioso puede inducir a rpki-client a consumir memoria de forma descontrolada, agotando los recursos del sistema y deteniendo de nuevo la validación.
En ambos casos el impacto es la interrupción del servicio de validación RPKI, no la ejecución de código ni la fuga de información. El riesgo práctico es que un operador deje de recibir datos de validación fiables, lo que puede degradar la protección de su política BGP frente a anuncios inválidos.
A quién afecta y gravedad
El problema afecta a los sistemas OpenBSD 7.8 que ejecutan rpki-client. La severidad es media: se trata de fallos de disponibilidad explotables por participantes maliciosos del ecosistema RPKI, sin que comprometan la confidencialidad ni la integridad del sistema. No se ha publicado un identificador CVE asociado a esta errata.
Estos mismos fallos se corrigieron también en la versión rpki-client 9.7, distribuida de forma portable para otros sistemas operativos que utilizan esta herramienta fuera de OpenBSD.
Mitigación y parche
La recomendación es aplicar la errata 012 mediante el mecanismo habitual de parcheo de OpenBSD. En sistemas con syspatch disponible:
syspatchQuienes compilan desde código fuente deben aplicar el parche oficial publicado en la página de erratas y recompilar rpki-client. Los usuarios de la versión portable deben actualizar a rpki-client 9.7 o posterior. Tras aplicar el parche conviene reiniciar el proceso de validación para asegurar que se ejecuta el binario corregido.
Si te interesa la seguridad de los sistemas BSD, puedes consultar la ficha de OpenBSD para conocer su modelo de seguridad por defecto.