Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3397-1 wpa

Debians sikkerhedsbulletin

DSA-3397-1 wpa -- sikkerhedsopdatering

Rapporteret den:

10. nov 2015

Berørte pakker:

wpa

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 787371, Fejl 787372, Fejl 787373, Fejl 795740, Fejl 804707, Fejl 804708, Fejl 804710.
I Mitres CVE-ordbog: CVE-2015-4141, CVE-2015-4142, CVE-2015-4143, CVE-2015-4144, CVE-2015-4145, CVE-2015-4146, CVE-2015-5310, CVE-2015-5314, CVE-2015-5315, CVE-2015-5316, CVE-2015-8041.

Yderligere oplysninger:

Adskillige sårbarheder er opdaget i wpa_supplicant og hostapd. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2015-4141

  Kostya Kortchinsky fra Google Security Team opdagede en sårbarhed i WPS UPnP-funktionene, med HTTP chunked transfer-encoding, hvilket kunne medføre et lammelsesangreb (denial of service).

• CVE-2015-4142

  Kostya Kortchinsky fra Google Security Team opdagede en sårbarhed i behandlingen af WMM Action-frame, hvilket kunne medføre et lammelsesangreb.

• CVE-2015-4143 CVE-2015-4144 CVE-2015-4145 CVE-2015-4146

  Kostya Kortchinsky fra Google Security Team opdagede at EAP-pwd-payload ikke blev korrekt valideret, hvilket kunne medføre et lammelsesangreb.

• CVE-2015-5310

  Jouni Malinen opdagede en fejl i behandlingen af WMM Sleep Mode Response-frame. En fjernangriber kunne drage nytte af fejlen til at iværksætte et lammelsesangreb.

• CVE-2015-5314 CVE-2015-5315

  Jouni Malinen opdagede en fejl i håndteringen af EAP-pwd-meddelelser, hvilket kunne medføre et lammelsesangreb.

• CVE-2015-5316

  Jouni Malinen opdagede en fejl i håndteringen af EAP-pwd-Confirm-meddelelser, hvilket kunne medføre et lammelsesangreb.

• CVE-2015-8041

  Ufuldstændig validering af postlængde på WPS og P2P NFC NDEF, kunne medføre et lammelsesangreb.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.0-3+deb7u3. Den gamle stabile distribution (wheezy) er kun påvirket af CVE-2015-4141, CVE-2015-4142, CVE-2015-4143 og CVE-2015-8041.

I den stabile distribution (jessie), er disse problemer rettet i version 2.3-1+deb8u3.

Vi anbefaler at du opgraderer dine wpa-pakker.