Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3397-1 wpa

Bulletin d'alerte Debian

DSA-3397-1 wpa -- Mise à jour de sécurité

Date du rapport :

10 novembre 2015

Paquets concernés :

wpa

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 787371, Bogue 787372, Bogue 787373, Bogue 795740, Bogue 804707, Bogue 804708, Bogue 804710.
Dans le dictionnaire CVE du Mitre : CVE-2015-4141, CVE-2015-4142, CVE-2015-4143, CVE-2015-4144, CVE-2015-4145, CVE-2015-4146, CVE-2015-5310, CVE-2015-5314, CVE-2015-5315, CVE-2015-5316, CVE-2015-8041.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans wpa_supplicant et hostapd. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

• CVE-2015-4141

  Kostya Kortchinsky de l'équipe de sécurité de Google a découvert une vulnérabilité dans la fonction WPS UPnP avec l'encodage de transfert en bloc HTTP qui peut avoir pour conséquence un déni de service.

• CVE-2015-4142

  Kostya Kortchinsky de l'équipe de sécurité de Google a découvert une vulnérabilité dans le traitement de cadres WMM Action qui peut avoir pour conséquence un déni de service.

• CVE-2015-4143 CVE-2015-4144 CVE-2015-4145 CVE-2015-4146

  Kostya Kortchinsky de l'équipe de sécurité de Google a découvert que la charge utile d'EAP-pwd n'est pas correctement validée ce qui peut avoir pour conséquence un déni de service.

• CVE-2015-5310

  Jouni Malinen a découvert un défaut dans le traitement de cadres WMM Sleep Mode Response. Un attaquant distant peut tirer avantage de ce défaut pour monter un déni de service.

• CVE-2015-5314 CVE-2015-5315

  Jouni Malinen a découvert un défaut dans le traitement des messages EAP-pwd qui peut avoir pour conséquence un déni de service.

• CVE-2015-5316

  Jouni Malinen a découvert un défaut dans le traitement des messages EAP-pwd Confirm qui peut avoir pour conséquence un déni de service.

• CVE-2015-8041

  La validation incomplète de la longueur de la charge utile d'enregistrements NDEF en mode WPS et P2P NFC peut avoir pour conséquence un déni de service.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.0-3+deb7u3. La distribution oldstable (Wheezy) est seulement affectée par CVE-2015-4141, CVE-2015-4142, CVE-2015-4143 et CVE-2015-8041.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.3-1+deb8u3.

Nous vous recommandons de mettre à jour vos paquets wpa.