Рекомендация Debian по безопасности

DSA-4538-1 wpa -- обновление безопасности

Дата сообщения:
29.09.2019
Затронутые пакеты:
wpa
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 934180, Ошибка 940080.
В каталоге Mitre CVE: CVE-2019-13377, CVE-2019-16275.
Более подробная информация:

В реализации протокола WPA в wpa_supplication (станция) и hostapd (точка доступа) были обнаружены две уязвимости.

  • CVE-2019-13377

    Атака через сторонние каналы с помощью тайминга на процесс установления связи WPA3 Dragonfly при использовании кривых Brainpool может использоваться злоумышленником для получения пароля.

  • CVE-2019-16275

    Недостаточная проверка адреса источника для некоторых управляющих фреймов в hostapd может приводить к отказу в обслуживании для станций, связанных с точкой доступа. Злоумышленник в пределах распространения радиосигнала точки доступа может ввести специально сформированный неаутентифицированный фрейм IEEE 802.11 в точку доступа для вызова отключения связанных станций, что потребует повторного подключения к сети.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 2:2.7+git20190128+0c1e29f-6+deb10u1.

Рекомендуется обновить пакеты wpa.

С подробным статусом поддержки безопасности wpa можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/wpa