Aviso de seguridad de Debian

DSA-4898-1 wpa -- actualización de seguridad

Fecha del informe:
22 de abr de 2021
Paquetes afectados:
wpa
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 976106, error 981971.
En el diccionario CVE de Mitre: CVE-2020-12695, CVE-2021-0326, CVE-2021-27803.
Información adicional:

Se han descubierto varias vulnerabilidades en wpa_supplicant y en hostapd.

  • CVE-2020-12695

    Se descubrió que hostapd no gestiona correctamente los mensajes de suscripción de UPnP en determinadas condiciones, permitiendo que un atacante provoque denegación de servicio.

  • CVE-2021-0326

    Se descubrió que wpa_supplicant no procesa correctamente la información de grupo P2P (Wi-Fi Direct) de los propietarios de grupos activos. Un atacante dentro del radio de alcance del dispositivo que ejecuta P2P podría aprovechar este defecto para provocar denegación de servicio o, potencialmente, para ejecutar código arbitrario.

  • CVE-2021-27803

    Se descubrió que wpa_supplicant no procesa correctamente las peticiones de descubrimiento («provision discovery requests») P2P (Wi-Fi Direct). Un atacante dentro del radio de alcance del dispositivo que ejecuta P2P podría aprovechar este defecto para provocar denegación de servicio o, potencialmente, para ejecutar código arbitrario.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 2:2.7+git20190128+0c1e29f-6+deb10u3.

Le recomendamos que actualice los paquetes de wpa.

Para información detallada sobre el estado de seguridad de wpa, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/wpa