Säkerhetsbulletin från Debian
DSA-3233-1 wpa -- säkerhetsuppdatering
- Rapporterat den:
- 2015-04-24
- Berörda paket:
- wpa
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 783148.
I Mitres CVE-förteckning: CVE-2015-1863. - Ytterligare information:
-
Googles säkerhetsgrupp och smart hardware research group från Alibaba security team upptäckte en brist i hur wpa_supplicant använde SSID-information när den skapar eller uppdaterar P2P-peer entries. En fjärrangripare kan utnyttja denna brist för att orsaka att wpa_supplicant kraschar, avslöjar minnesinnehåll och potentiellt kör godtycklig kod.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.0-3+deb7u2. Notera att detta problem inte påverkar de binära paket som distribueras av Debian eftersom CONFIG_P2P inte är aktiverat för detta bygge.
För den kommande stabila utgåvan (Jessie) har detta problem rättats i version 2.3-1+deb8u1.
För den instabila utgåvan (Sid) har detta problem rättats i version 2.3-2.
Vi rekommenderar att ni uppgraderar era wpa-paket.