Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3397-1 wpa

Säkerhetsbulletin från Debian

DSA-3397-1 wpa -- säkerhetsuppdatering

Rapporterat den:

2015-11-10

Berörda paket:

wpa

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 787371, Fel 787372, Fel 787373, Fel 795740, Fel 804707, Fel 804708, Fel 804710.
I Mitres CVE-förteckning: CVE-2015-4141, CVE-2015-4142, CVE-2015-4143, CVE-2015-4144, CVE-2015-4145, CVE-2015-4146, CVE-2015-5310, CVE-2015-5314, CVE-2015-5315, CVE-2015-5316, CVE-2015-8041.

Ytterligare information:

Flera sårbarheter har upptäckts i wpa_supplicant och hostapd. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2015-4141

  Kostya Kortchinsky från Google Security Team upptäckte en sårbarhet i WPS UPnP-funktionen med HTTP-klumpad överföringskodning vilket kan resultera i en överbelastning.

• CVE-2015-4142

  Kostya Kortchinsky från Google Security Team upptäckte en sårbarhet i WMM Action frame-behandling som kan resultera i en överbelastning.

• CVE-2015-4143 CVE-2015-4144 CVE-2015-4145 CVE-2015-4146

  Kostya Kortchinsky från Google Security Team upptäckte att EAP-pwd payload inte valideras ordentligt vilket kan resultera i en överbelastning.

• CVE-2015-5310

  Jouni Malinen upptäckte en brist i WMM Sleep Mode Response frame-behandling. En fjärrangripare kan dra nytta av denna brist för att starta en överbelastning.

• CVE-2015-5314 CVE-2015-5315

  Jouni Malinen upptäckte en brist i hanteringen av EAP-pwd-meddelanden vilket kan resultera i en överbelastning.

• CVE-2015-5316

  Jouni Malinen upptäckte en brist i hanteringen av EAP-pwd-konfirmationsmeddelanden vilket kan resultera i en överbelastning.

• CVE-2015-8041

  Otillräcklig validering av längden av WPS och P2P NFC NDEF poster kan resultera i överbelastning.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.0-3+deb7u3. Den gamla stabila utgåvan (Wheezy) påverkas endast av CVE-2015-4141, CVE-2015-4142, CVE-2015-4143 och CVE-2015-8041.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 2.3-1+deb8u3.

Vi rekommenderar att ni uppgraderar era wpa-paket.