Bulletin d'alerte Debian

DSA-4898-1 wpa -- Mise à jour de sécurité

Date du rapport :
22 avril 2021
Paquets concernés :
wpa
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 976106, Bogue 981971.
Dans le dictionnaire CVE du Mitre : CVE-2020-12695, CVE-2021-0326, CVE-2021-27803.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans wpa_supplicant et hostapd.

  • CVE-2020-12695

    hostapd ne gère pas correctement les messages de souscription UPnP sous certaines conditions, permettant à un attaquant de provoquer un déni de service.

  • CVE-2021-0326

    wpa_supplicant ne traite pas correctement les informations du groupe P2P (Wi-Fi Direct) reçues des propriétaires actifs du groupe. Un attaquant à portée d'émetteur du périphérique exécutant P2P pourrait tirer avantage de ce défaut pour provoquer un déni de service ou éventuellement exécuter du code arbitraire.

  • CVE-2021-27803

    wpa_supplicant ne traite pas correctement les requêtes P2P (Wi-Fi Direct) de recherche de disponibilité. Un attaquant à portée d'émetteur du périphérique exécutant P2P pourrait tirer avantage de ce défaut pour provoquer un déni de service ou éventuellement exécuter du code arbitraire.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 2:2.7+git20190128+0c1e29f-6+deb10u3.

Nous vous recommandons de mettre à jour vos paquets wpa.

Pour disposer d'un état détaillé sur la sécurité de wpa, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/wpa.