Debians sikkerhedsbulletin

DSA-4898-1 wpa -- sikkerhedsopdatering

Rapporteret den:
22. apr 2021
Berørte pakker:
wpa
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 976106, Fejl 981971.
I Mitres CVE-ordbog: CVE-2020-12695, CVE-2021-0326, CVE-2021-27803.
Yderligere oplysninger:

Flere sårbarheder er opdaget i wpa_supplicant og hostapd.

  • CVE-2020-12695

    Man opdagede at hostapd ikke på korrekt vis håndterede UPnP-tilmeldingsmeddelelser under visse omstændigheder, hvilket gjorde det muligt for en angriber at forårsage et lammelsesangreb.

  • CVE-2021-0326

    Man opdagede at wpa_supplicant ikke på korrekt vis behandlede P2P-gruppeoplysninger (Wi-Fi Direct) fra aktive gruppeejere. En angriber indenfor radioafstand af enheden der kører P2P, kunne drage nytte af fejlen til at forårsage et lammelsesangreb eller potentielt udføre vilkårlig kode.

  • CVE-2021-27803

    Man opdagede at wpa_supplicant ikke på korrekt vis behandlede P2P's provision discovery-forespørgsler (Wi-Fi Direct). En angriber indenfor radioafstand af enheden der kører P2P, kunne drage nytte af fejlen til at forårsage et lammelsesangreb eller potentielt udføre vilkårlig kode.

I den stabile distribution (buster), er disse problemer rettet i version 2:2.7+git20190128+0c1e29f-6+deb10u3.

Vi anbefaler at du opgraderer dine wpa-pakker.

For detaljeret sikkerhedsstatus vedrørende wpa, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/wpa