Bulletin d'alerte Debian

DSA-4450-1 wpa -- Mise à jour de sécurité

Date du rapport :
24 mai 2019
Paquets concernés :
wpa
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 927463.
Dans le dictionnaire CVE du Mitre : CVE-2019-11555.
Plus de précisions :

Une vulnérabilité a été découverte dans l'implémentation du protocole WPA fournie dans wpa_supplication (station) et hostapd (point d'accès).

L'implémentation de EAP-pwd dans hostapd (serveur EAP) et wpa_supplicant (pair EAP) ne valide pas correctement l'état de réassemblage de fragments lors de la réception d'un fragment imprévu. Cela pourrait conduire au plantage du processus dû à un déréférencement de pointeur NULL.

Un attaquant dans la portée d'une station ou d'un point d'accès prenant en charge de EAP-pwd pourrait provoquer un plantage du processus correspondant (wpa_supplicant ou hostapd), assurant un déni de service.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 2:2.4-1+deb9u4.

Nous vous recommandons de mettre à jour vos paquets wpa.

Pour disposer d'un état détaillé sur la sécurité de wpa, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/wpa.