Säkerhetsbulletin från Debian

DSA-4450-1 wpa -- säkerhetsuppdatering

Rapporterat den:
2019-05-24
Berörda paket:
wpa
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 927463.
I Mitres CVE-förteckning: CVE-2019-11555.
Ytterligare information:

En sårbarhet har upptäckts i implementationen av WPA-protokollet som finns i wpa_supplication (station) och hostapd (åtkomstpunkt).

EAP-pwd-implementationen i hostapd (EAP-server) och wpa_supplicant (EAP peer) validerar inte fragmenteringsåterskapandepunkten ordentligt vid mottagande av ett oväntat fragment. Detta kunde leda till en processkrasch på grund av en NULL-pekardereferens.

En angripare i radioräckvidd för en station eller åtkomstpunkt med EAP-pwd-stöd kunde orsaka en krasch av den relevanta processen (wpa_supplicat eller hostapd), och därmed säkerställa en överbelastning.

För den stabila utgåvan (Stretch) har detta problem rättats i version 2:2.4-1+deb9u4.

Vi rekommenderar att ni uppgraderar era wpa-paket.

För detaljerad säkerhetsstatus om wpa vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/wpa