Sikkerhedsoplysninger / 2019 / Sikkerhedsoplysninger -- DSA-4450-1 wpa

Debians sikkerhedsbulletin

DSA-4450-1 wpa -- sikkerhedsopdatering

Rapporteret den:

24. maj 2019

Berørte pakker:

wpa

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 927463.
I Mitres CVE-ordbog: CVE-2019-11555.

Yderligere oplysninger:

En sårbarhed blev fundet i implementeringen af WPA-protokollen, som findes i wpa_supplication (station) og hostapd (accesspoint).

Implementeringen af EAP-pwd i hostapd (EAP-server) og wpa_supplicant (EAP-peer) validerer ikke på korrekt vis fragmenteringsreassemblytilstand, når der blev modtaget et uventet fragment. Det kunne til et procesnedbrud på grund af en NULL-pointerderefrence.

En angriben indenfor radioafstand af stationen eller accesspointet, med EAP-pwd-understøttelse, kunne forårsage et nedbrud i den relevante proces (wpa_supplicant eller hostapd), medførende et lammelsesangreb.

I den stabile distribution (stretch), er dette problem rettet i version 2:2.4-1+deb9u4.

Vi anbefaler at du opgraderer dine wpa-pakker.

For detaljeret sikkerhedsstatus vedrørende wpa, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/wpa