Debians sikkerhedsbulletin
DSA-4538-1 wpa -- sikkerhedsopdatering
- Rapporteret den:
- 29. sep 2019
- Berørte pakker:
- wpa
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 934180, Fejl 940080.
I Mitres CVE-ordbog: CVE-2019-13377, CVE-2019-16275. - Yderligere oplysninger:
-
To sårbarheder er fundet i implementeringen af WPA-protokollen, som findes i wpa_supplication (station) og hostapd (accesspoint).
- CVE-2019-13377
Et timingbaseret sidekanalsangreb mod WPA3's Dragonfly-håndtryk, når der anvendes Brainpool-kurver, kunne udnyttes af en angriber til at få fat i adgangskoden.
- CVE-2019-16275
Utilstrækkelig validering af kildeadresse for nogle modtagne Management-frames i hostapd, kunne føre til et lammelsesangreb for stationer forbundet med et accesspoint. En angriber indenfor radioafstand af accesspoint'et, kunne indsprøjte en særligt fremstillet uautentificeret IEEE 802.11-frame til accesspoint'et, og dermed forårsage at forbindelsen til forbundne stationer blev afbrudt, og krævede en ny forbindelse til netværket.
I den stabile distribution (buster), er disse problemer rettet i version 2:2.7+git20190128+0c1e29f-6+deb10u1.
Vi anbefaler at du opgraderer dine wpa-pakker.
For detaljeret sikkerhedsstatus vedrørende wpa, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/wpa
- CVE-2019-13377