Aviso de seguridad de Debian

DSA-4538-1 wpa -- actualización de seguridad

Fecha del informe:
29 de sep de 2019
Paquetes afectados:
wpa
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 934180, error 940080.
En el diccionario CVE de Mitre: CVE-2019-13377, CVE-2019-16275.
Información adicional:

Se encontraron dos vulnerabilidades en la implementación del protocolo WPA presente en wpa_supplication (estación) y en hostapd (punto de acceso).

  • CVE-2019-13377

    Un atacante podría realizar un ataque de canal lateral basado en tiempo contra el «handshake» Dragonfly de WPA3 cuando se usan curvas Brainpool, para conseguir la contraseña.

  • CVE-2019-16275

    Una validación insuficiente de direcciones de origen para algunas tramas de gestión recibidas en hostapd podría dar lugar a denegación de servicio para estaciones asociadas a un punto de acceso. Un atacante dentro del radio de alcance del punto de acceso podría inyectar en este una trama IEEE 802.11 no autenticada especialmente construida para provocar que las estaciones asociadas sean desconectadas y precisen reconectarse a la red.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 2:2.7+git20190128+0c1e29f-6+deb10u1.

Le recomendamos que actualice los paquetes de wpa.

Para información detallada sobre el estado de seguridad de wpa, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/wpa