BDU:2020-00733: Уязвимость функции wpa_supplicant протокола EAP-PWD сертификации устройств беспроводной связи WPA, позволяющая нарушителю получить несанкционированный доступ к информации

Описание уязвимости

Уязвимость функции wpa_supplicant протокола EAP-PWD сертификации устройств беспроводной связи WPA связана с отсутствием проверки целостности сообщений. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Canonical Ltd., Сообщество свободного программного обеспечения, Novell Inc., ООО «РусБИТех-Астра», Jouni Malinen

Наименование ПО

Ubuntu, Debian GNU/Linux, OpenSUSE Leap, Astra Linux Special Edition (запись в едином реестре российских программ №369), WPA Supplicant

Версия ПО

  • 14.04 LTS (Ubuntu)
  • 16.04 LTS (Ubuntu)
  • 9 (Debian GNU/Linux)
  • 42.3 (OpenSUSE Leap)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 10 (Debian GNU/Linux)
  • от 2.0 до 2.6 включительно (WPA Supplicant)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

  • Canonical Ltd. Ubuntu 14.04 LTS
  • Canonical Ltd. Ubuntu 16.04 LTS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9
  • Novell Inc. OpenSUSE Leap 42.3
  • Canonical Ltd. Ubuntu 18.04 LTS
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369)
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10

Тип ошибки

Недостаточная реализация целостности сообщений при их передаче в канал связи

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

08.08.2018

Базовый вектор уязвимости

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для wpa:
Обновление программного обеспечения до 2.3-1+deb8u9 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета wpa) до 2.3-1+deb8u9 или более поздней версии

Для программных продуктов Novell Inc.
https://lists.opensuse.org/opensuse-security-announce/2019-05/msg00013.html

Для Ubuntu:
https://usn.ubuntu.com/3745-1/

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения