БДУ - Уязвимости

BDU:2021-01584: Уязвимость компонента p2p/p2p_pd.c клиента защищённого доступа Wi-Fi WPA Supplicant, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Описание уязвимости	Уязвимость компонента p2p/p2p_pd.c клиента защищённого доступа Wi-Fi WPA Supplicant связана с ошибками освобождения ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или выполнить произвольный код
Вендор	Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», АО «ИВК», Novell Inc., Fedora Project, Jouni Malinen, АО "НППКТ", АО «Концерн ВНИИНС»
Наименование ПО	Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Common Edition (запись в едином реестре российских программ №4433), Альт 8 СП Рабочая станция, Suse Linux Enterprise Server, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), OpenSUSE Leap, Fedora, WPA Supplicant, Альт 8 СП (запись в едином реестре российских программ №4305), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) - (Альт 8 СП Рабочая станция) 12 SP2-BCL (Suse Linux Enterprise Server) 12 SP2-ESPOS (Suse Linux Enterprise Server) 12 SP2-LTSS (Suse Linux Enterprise Server) 12 SP3-LTSS (Suse Linux Enterprise Server) 12 SP3-BCL (Suse Linux Enterprise Server) 12 SP5 (Suse Linux Enterprise Server) 10 (Debian GNU/Linux) 12 SP3-ESPOS (Suse Linux Enterprise Server) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 15.2 (OpenSUSE Leap) 12 SP4 LTSS (Suse Linux Enterprise Server) 33 (Fedora) 15 SP1-BCL (Suse Linux Enterprise Server) от 1.0 до 2.10 (WPA Supplicant) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) - (Альт 8 СП) до 2.1 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) АО «ИВК» Альт 8 СП Рабочая станция - Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL Novell Inc. Suse Linux Enterprise Server 12 SP5 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Novell Inc. OpenSUSE Leap 15.2 Novell Inc. Suse Linux Enterprise Server 12 SP4 LTSS Fedora Project Fedora 33 Novell Inc. OpenSUSE Leap 15.2 x86 (x32 / IA-32) Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 (запись в едином реестре российских программ №369) АО «ИВК» Альт 8 СП - (запись в едином реестре российских программ №4305) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Некорректная зачистка или освобождение ресурсов
Идентификатор типа ошибки	CWE-404
Класс уязвимости	Уязвимость кода
Дата выявления	26.02.2021
Базовый вектор уязвимости	CVSS 2.0: AV:A/AC:M/Au:N/C:P/I:P/A:P CVSS 3.0: AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций, доступных по адресу: Для Wi-Fi WPA Supplicant: https://w1.fi/security/2021-1/0001-P2P-Fix-a-corner-case-in-peer-addition-based-on-PD-R.patch https://w1.fi/security/2021-1/wpa_supplicant-p2p-provision-discovery-processing-vulnerability.txt Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2021-27803/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IZGUR5XFHATVXTRAEJMODS7ROYHA56NX/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KOGP2VIVVXXQ6CZ2HU4DKGPDB4WR24XF/ Для Debian: https://security-tracker.debian.org/tracker/CVE-2021-27803 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 Для Альт 8 СП: https://packages.altlinux.org/ru/sisyphus/srpms/wpa_supplicant/changelog/ Для ОСОН Основа: Обновление программного обеспечения wpa до версии 2:2.7+git20190128+0c1e29f-6+deb10u3 Для ОС ОН «Стрелец»: Обновление программного обеспечения wpa до версии 2:2.4-1+deb9u9
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IZGUR5XFHATVXTRAEJMODS7ROYHA56NX/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KOGP2VIVVXXQ6CZ2HU4DKGPDB4WR24XF/ https://nvd.nist.gov/vuln/detail/CVE-2021-27803 https://security-tracker.debian.org/tracker/CVE-2021-27803 https://ubuntu.com/security/CVE-2021-27803?_ga=2.47755299.565095177.1614746162-997510329.1585215282 https://vuldb.com/?id.170524 https://w1.fi/security/2021-1/0001-P2P-Fix-a-corner-case-in-peer-addition-based-on-PD-R.patch https://w1.fi/security/2021-1/wpa_supplicant-p2p-provision-discovery-processing-vulnerability.txt https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.suse.com/security/cve/CVE-2021-27803/ https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://packages.altlinux.org/ru/sisyphus/srpms/wpa_supplicant/changelog/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-27803
Прочая информация	Данные уточняются

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»