Информация по безопасности / 2012 / Информация о безопасности -- DSA-2557-1 hostapd

Рекомендация Debian по безопасности

DSA-2557-1 hostapd -- переполнение буфера

Дата сообщения:

08.10.2012

Затронутые пакеты:

hostapd

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-4445.

Более подробная информация:

Тимо Уорнс обнаружил, что сервер внутренней аутентификации hostapd, программы для аутентификации для пользовательского пространства по IEEE 802.11 AP и IEEE 802.1X/WPA/WPA2/EAP, содержит переполнение буфера, проявляющееся при обработке фрагмента сообщений EAP-TLS. В результате внутреннее переполнение функции проверки приводит к завершению работы процесса. Злоумышленник может использовать данную уязвимость для вызова отказа в обслуживании при помощи специально сформированных сообщений EAP-TLS, отправленных до прохождения аутентификации.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1:0.6.10-2+squeeze1.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты hostapd.