Bulletin d'alerte Debian

DLA-1922-1 wpa -- Mise à jour de sécurité pour LTS

Date du rapport :
16 septembre 2019
Paquets concernés :
wpa
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 940080.
Dans le dictionnaire CVE du Mitre : CVE-2019-16275.
Plus de précisions :

Hostapd (et wpa_supplicant contrôlant le mode AP) ne réalisait pas une validation suffisante d’adresse source pour certaines trames de gestion reçues. Cela pourrait aboutir à l’envoi d’une trame faisant que des stations associées croient de manière indue qu’elles soient déconnectées du réseau même si PMF (management frame protection) avait été négocié pour ces associations. Cela pourrait être considéré comme une vulnérabilité de déni de service puisque PMF est censé protéger contre ce type de problèmes.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 2.3-1+deb8u9.

Nous vous recommandons de mettre à jour vos paquets wpa.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.