Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3233-1 wpa

Säkerhetsbulletin från Debian

DSA-3233-1 wpa -- säkerhetsuppdatering

Rapporterat den:

2015-04-24

Berörda paket:

wpa

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 783148.
I Mitres CVE-förteckning: CVE-2015-1863.

Ytterligare information:

Googles säkerhetsgrupp och smart hardware research group från Alibaba security team upptäckte en brist i hur wpa_supplicant använde SSID-information när den skapar eller uppdaterar P2P-peer entries. En fjärrangripare kan utnyttja denna brist för att orsaka att wpa_supplicant kraschar, avslöjar minnesinnehåll och potentiellt kör godtycklig kod.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.0-3+deb7u2. Notera att detta problem inte påverkar de binära paket som distribueras av Debian eftersom CONFIG_P2P inte är aktiverat för detta bygge.

För den kommande stabila utgåvan (Jessie) har detta problem rättats i version 2.3-1+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.3-2.

Vi rekommenderar att ni uppgraderar era wpa-paket.