Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Тестирование обновлений
Документы
Термины
Регламент включения уязвимостей
Все документы
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
БДУ АСУ ТП
ФСТЭК России
Главная
Список уязвимостей
BDU:2020-00733
BDU:2020-00733: Уязвимость функции wpa_supplicant протокола EAP-PWD сертификации устройств беспроводной связи WPA, позволяющая нарушителю получить несанкционированный доступ к информации
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость функции wpa_supplicant протокола EAP-PWD сертификации устройств беспроводной связи WPA связана с отсутствием проверки целостности сообщений. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор
Canonical Ltd., Сообщество свободного программного обеспечения, Novell Inc., ООО «РусБИТех-Астра», Jouni Malinen
Наименование ПО
Ubuntu, Debian GNU/Linux, OpenSUSE Leap, Astra Linux Special Edition (
запись в едином реестре российских программ №369
), WPA Supplicant
Версия ПО
14.04 LTS (Ubuntu)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
42.3 (OpenSUSE Leap)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
10 (Debian GNU/Linux)
от 2.0 до 2.6 включительно (WPA Supplicant)
Тип ПО
Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 14.04 LTS
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 42.3
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (
запись в едином реестре российских программ №369
)
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Тип ошибки
Недостаточная реализация целостности сообщений при их передаче в канал связи
Идентификатор типа ошибки
CWE-924
Класс уязвимости
Уязвимость кода
Дата выявления
08.08.2018
Базовый вектор уязвимости
CVSS 2.0:
AV:A/AC:L/Au:N/C:P/I:N/A:N
CVSS 3.0:
AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости
Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для wpa:
Обновление программного обеспечения до 2.3-1+deb8u9 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета wpa) до 2.3-1+deb8u9 или более поздней версии
Для программных продуктов Novell Inc.
https://lists.opensuse.org/opensuse-security-announce/2019-05/msg00013.html
Для Ubuntu:
https://usn.ubuntu.com/3745-1/
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Способ эксплуатации
Манипулирование структурами данных
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
https://w1.fi/security/2018-1/unauthenticated-eapol-key-decryption.txt
https://nvd.nist.gov/vuln/detail/CVE-2018-14526
https://security-tracker.debian.org/tracker/CVE-2018-14526
https://lists.opensuse.org/opensuse-security-announce/2019-05/msg00013.html
https://usn.ubuntu.com/3745-1/
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2018-14526
Прочая информация
Данные уточняются
Последние изменения
18.09.2024
Уязвимость панели управления хостингом Webmin, связанная с некорректными разрешениями и привилегиями, позволяющая нарушителю обойти существующие ограничения безопасности
18.09.2024
Уязвимость компонента Device Handler кроссплатформенного гипервизора Xen ядра операционной системы Linux, позволяющая нарушителю повысить привилегии
18.09.2024
Уязвимость компонента x86 HVM Hypercall Handler кроссплатформенного гипервизора Xen ядра операционной системы Linux, позволяющая нарушителю получить вызвать отказ в обслуживании
18.09.2024
Уязвимость компонента _nc_wrap_entry() библиотеки для управления вводом-выводом на терминал ncurses, позволяющая нарушителю вызвать отказ в обслуживании
18.09.2024
Уязвимость инструмента удаленного управления Admin Center операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
18.09.2024
Уязвимость драйвера OLE DB для SQL Server операционных систем Windows, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю раскрыть защищаемую информацию
18.09.2024
Уязвимость сетевого средства Ivanti Cloud Services Appliance, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольный код
18.09.2024
Уязвимость пакета программ Microsoft SharePoint Server, связанная с десериализацией ненадежных данных, позволяющая нарушителю вызвать отказ в обслуживании
18.09.2024
Уязвимость программного средства управления конечными точками Ivanti EPM, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код
18.09.2024
Уязвимость программного средства управления конечными точками Ivanti EPM, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код