セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2557-1 hostapd

Debian セキュリティ勧告

DSA-2557-1 hostapd -- バッファオーバフロー

報告日時:

2012-10-08

影響を受けるパッケージ:

hostapd

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-4445.

詳細:

Timo Warns さんによって、ユーザー空間で動作する IEEE 802.11 AP と IEEE 802.1X/WPA/WPA2/EAP の Authenticator である hostapd の内部認証サーバーに、分割された EAP-TLS メッセージを処理する際にバッファオーバーフローの脆弱性があることが見つかりました。 その結果，内部のオーバーフロー検査ルーチンがプロセスを終了させます。 攻撃者はこの欠陥を悪用し、いかなる認証も通さずに細工を施した EAP-TLS メッセージを送り、サービス拒否攻撃を仕掛けることができます。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 1:0.6.10-2+squeeze1 で修正されています。

テスト版 (wheezy) および不安定版 (sid) ディストリビューションでは、この問 題は近く修正予定です。

直ぐに hostapd パッケージをアップグレードすることを勧めます。