Debians sikkerhedsbulletin
DSA-4450-1 wpa -- sikkerhedsopdatering
- Rapporteret den:
- 24. maj 2019
- Berørte pakker:
- wpa
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 927463.
I Mitres CVE-ordbog: CVE-2019-11555. - Yderligere oplysninger:
-
En sårbarhed blev fundet i implementeringen af WPA-protokollen, som findes i wpa_supplication (station) og hostapd (accesspoint).
Implementeringen af EAP-pwd i hostapd (EAP-server) og wpa_supplicant (EAP-peer) validerer ikke på korrekt vis fragmenteringsreassemblytilstand, når der blev modtaget et uventet fragment. Det kunne til et procesnedbrud på grund af en NULL-pointerderefrence.
En angriben indenfor radioafstand af stationen eller accesspointet, med EAP-pwd-understøttelse, kunne forårsage et nedbrud i den relevante proces (wpa_supplicant eller hostapd), medførende et lammelsesangreb.
I den stabile distribution (stretch), er dette problem rettet i version 2:2.4-1+deb9u4.
Vi anbefaler at du opgraderer dine wpa-pakker.
For detaljeret sikkerhedsstatus vedrørende wpa, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/wpa