DFN-CERT-2015-1045 hostapd, wpa_supplicant: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

DFN-CERT-2015-1045 hostapd, wpa_supplicant: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

wpa_supplicant
hostapd

Betroffene Plattformen:

GNU/Linux
Red Hat Fedora 21
Red Hat Fedora 22

Durch eine Schwachstelle in hostapd und wpa_supplicant ist es einem
entfernten, nicht authentisierten Angreifer möglich, einen
Denial-of-Service-Angriff durchzuführen.

Das hostapd- und wpa_supplicant-Projekt stellt einen Patch zur Behebung der
Schwachstelle zur Verfügung. Fedora hat den Patch in das Paket hostapd-2.4-3
für Fedora 21 und 22 integriert und bietet es als Sicherheitsupdate im
Status ‘testing’ an.

Patch:

Fedora Security Update FEDORA-2015-11374

https://admin.fedoraproject.org/updates/FEDORA-2015-11374/hostapd-2.4-3.fc22

Patch:

Fedora Security Update FEDORA-2015-11441

https://admin.fedoraproject.org/updates/FEDORA-2015-11441/hostapd-2.4-3.fc21

Patch:

W1FI Security Advisory 2015-5 – Incomplete WPS and P2P NFC NDEF record
payload length validation

http://w1.fi/security/2015-5/

W1FI-SECURITY-2015-5-1: Schwachstelle in hostapd und wpa_supplicant
ermöglicht einen Denial-of-Service-Angriff

Im Parser von NDEF-Daten von hostapd und wpa_supplicant wurde eine
Schwachstelle gefunden, die auf einem Integer-Überlauf aufgrund einer
unzureichenden Dimensionierung des Integer-Typs basiert. Dadurch kann die
Überprüfung von deformierten NDEF-Daten übergangen werden, woraus für den
hostapd/wpa_supplicant-Prozess entweder der Absturz (buffer read overflow)
oder eine Endlosschleife folgt. Die Schwachstelle kann nur ausgenutzt
werden, wenn die Kommunikation über NFC (Near Field Communication) erfolgt.
Entsprechend muss die NFC-Option in hostapd bzw. wpa_supplicant über
“CONFIG_WPS_NFC=y” eingeschaltet sein.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1045/

Fedora Security Update FEDORA-2015-11374:
https://admin.fedoraproject.org/updates/FEDORA-2015-11374/hostapd-2.4-3.fc22

Fedora Security Update FEDORA-2015-11441:
https://admin.fedoraproject.org/updates/FEDORA-2015-11441/hostapd-2.4-3.fc21

W1FI Security Advisory 2015-5 – Incomplete WPS and P2P NFC NDEF record payload
length validation:
http://w1.fi/security/2015-5/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben