Bulletin d'alerte Debian

DSA-3233-1 wpa -- Mise à jour de sécurité

Date du rapport :
24 avril 2015
Paquets concernés :
wpa
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 783148.
Dans le dictionnaire CVE du Mitre : CVE-2015-1863.
Plus de précisions :

L'équipe de sécurité de Google et le groupe de recherche sur le matériel intelligent de l'équipe de sécurité d'Alibaba ont découvert un défaut dans la manière dont wpa_supplicant utilisait les informations de SSID lors de la création ou du rafraichissement d'entrées de pairs P2P. Un attaquant distant peut utiliser ce défaut pour provoquer le plantage de wpa_supplicant, exposer des contenus de la mémoire, et éventuellement exécuter du code arbitraire.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.0-3+deb7u2. Notez que ce problème n'affecte pas les paquets binaires distribués dans Debian dans la mesure où CONFIG_P2P n'est pas activé pour la construction.

Pour la prochaine distribution stable (Jessie), ce problème a été corrigé dans la version 2.3-1+deb8u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3-2.

Nous vous recommandons de mettre à jour vos paquets wpa.