Debians sikkerhedsbulletin

DSA-4450-1 wpa -- sikkerhedsopdatering

Rapporteret den:
24. maj 2019
Berørte pakker:
wpa
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 927463.
I Mitres CVE-ordbog: CVE-2019-11555.
Yderligere oplysninger:

En sårbarhed blev fundet i implementeringen af WPA-protokollen, som findes i wpa_supplication (station) og hostapd (accesspoint).

Implementeringen af EAP-pwd i hostapd (EAP-server) og wpa_supplicant (EAP-peer) validerer ikke på korrekt vis fragmenteringsreassemblytilstand, når der blev modtaget et uventet fragment. Det kunne til et procesnedbrud på grund af en NULL-pointerderefrence.

En angriben indenfor radioafstand af stationen eller accesspointet, med EAP-pwd-understøttelse, kunne forårsage et nedbrud i den relevante proces (wpa_supplicant eller hostapd), medførende et lammelsesangreb.

I den stabile distribution (stretch), er dette problem rettet i version 2:2.4-1+deb9u4.

Vi anbefaler at du opgraderer dine wpa-pakker.

For detaljeret sikkerhedsstatus vedrørende wpa, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/wpa