Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3233-1 wpa

Debians sikkerhedsbulletin

DSA-3233-1 wpa -- sikkerhedsopdatering

Rapporteret den:

24. apr 2015

Berørte pakker:

wpa

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 783148.
I Mitres CVE-ordbog: CVE-2015-1863.

Yderligere oplysninger:

Google Security Team og Smart Hardware Research Group fra Alibaba Security Team opdagede en fejl i hvordan wpa_supplicant anvendte SSID-oplysninger, når P2P- peerposter blev oprettet eller opdateret. En fjernangriber kunne udnytte fejlen til at få wpa_supplicant til at gå ned, blotlægge hukommelsesindhold og potentielt udføre vilkårlig kode.

I den stabile distribution (wheezy), er dette problem rettet i version 1.0-3+deb7u2. Bemærk at problemet ikke påvirker den binære pakke, som Debian distribuerer, da CONFIG_P2P ikke er aktiveret i dette build.

I den kommende stabile distribution (jessie), er dette problem rettet i version 2.3-1+deb8u1.

I den ustabile distribution (sid), er dette problem rettet i version 2.3-2.

Vi anbefaler at du opgraderer dine wpa-pakker.