Sikkerhedsoplysninger / 2019 / Sikkerhedsoplysninger -- DSA-4538-1 wpa

Debians sikkerhedsbulletin

DSA-4538-1 wpa -- sikkerhedsopdatering

Rapporteret den:

29. sep 2019

Berørte pakker:

wpa

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 934180, Fejl 940080.
I Mitres CVE-ordbog: CVE-2019-13377, CVE-2019-16275.

Yderligere oplysninger:

To sårbarheder er fundet i implementeringen af WPA-protokollen, som findes i wpa_supplication (station) og hostapd (accesspoint).

• CVE-2019-13377

  Et timingbaseret sidekanalsangreb mod WPA3's Dragonfly-håndtryk, når der anvendes Brainpool-kurver, kunne udnyttes af en angriber til at få fat i adgangskoden.

• CVE-2019-16275

  Utilstrækkelig validering af kildeadresse for nogle modtagne Management-frames i hostapd, kunne føre til et lammelsesangreb for stationer forbundet med et accesspoint. En angriber indenfor radioafstand af accesspoint'et, kunne indsprøjte en særligt fremstillet uautentificeret IEEE 802.11-frame til accesspoint'et, og dermed forårsage at forbindelsen til forbundne stationer blev afbrudt, og krævede en ny forbindelse til netværket.

I den stabile distribution (buster), er disse problemer rettet i version 2:2.7+git20190128+0c1e29f-6+deb10u1.

Vi anbefaler at du opgraderer dine wpa-pakker.

For detaljeret sikkerhedsstatus vedrørende wpa, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/wpa