Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

wpa_supplicant

Betroffene Plattformen:

Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts

Durch Ausnutzen dieser Schwachstelle kann ein entfernter, nicht
authentifizierter Angreifer beliebige Kommandos auf dem wpa_supplication
ausführen und damit das betroffene drahtlose Netzwerk übernehmen. Canonical
stellt für Ubuntu 14.04 LTS, Ubuntu 12.04 LTS und Ubuntu 10.04 LTS
Sicherheitsupdates für wpa_supplicant bereit.

Patch:

Ubuntu Security Notice USN-2383-1

http://www.ubuntu.com/usn/usn-2383-1/

CVE-2014-3686: Schwachstelle in wpa_supplicant erlaubt Ausführen beliebiger
Kommandos

Eine Schwachstelle im “wpa_cli”-Tool im “wpa_supplicant” besteht in einer
fehlerhaften Bereinigung von Strings, wenn diese mit “action scripts”
verwendet werden. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle ausnutzen, indem er speziell präparierten
Netzwerkverkehr an einen “wpa_supplicant” sendet, um beliebigen Programmcode
zur Ausführung zu bringen, bzw. dadurch beliebige Befehle auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1358/

Ubuntu Security Notice USN-2383-1:
http://www.ubuntu.com/usn/usn-2383-1/

Schwachstelle CVE-2014-3686 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3686

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

wpa_supplicant

Betroffene Plattformen:

Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts

Durch Ausnutzen dieser Schwachstelle kann ein entfernter, nicht
authentifizierter Angreifer beliebige Kommandos auf dem wpa_supplication
ausführen und damit das betroffene drahtlose Netzwerk übernehmen. Canonical
stellt für Ubuntu 14.04 LTS, Ubuntu 12.04 LTS und Ubuntu 10.04 LTS
Sicherheitsupdates für wpa_supplicant bereit.

Patch:

Ubuntu Security Notice USN-2383-1

http://www.ubuntu.com/usn/usn-2383-1/

CVE-2014-3686: Schwachstelle in wpa_supplicant erlaubt Ausführen beliebiger
Kommandos

Eine Schwachstelle im “wpa_cli”-Tool im “wpa_supplicant” besteht in einer
fehlerhaften Bereinigung von Strings, wenn diese mit “action scripts”
verwendet werden. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle ausnutzen, indem er speziell präparierten
Netzwerkverkehr an einen “wpa_supplicant” sendet, um beliebigen Programmcode
zur Ausführung zu bringen, bzw. dadurch beliebige Befehle auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1358/

Ubuntu Security Notice USN-2383-1:
http://www.ubuntu.com/usn/usn-2383-1/

Schwachstelle CVE-2014-3686 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3686

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.