Debian 的稳定版本是否包含 wpa_supplicant 的易受攻击版本?

Debian 的稳定版本是否包含 wpa_supplicant 的易受攻击版本?

我使用的是 Debian jessie 稳定版本。我注意到该版本 wpa_supplicant容易受到 DoS 攻击,根据CVE-2015-8041:

2.5 之前的 hostapd 和 2.5 之前的 wpa_supplicant 中的 NDEF 记录解析器中的多个整数溢出允许远程攻击者通过 (1) WPS 或 (2) P2P 中的大负载长度字段值导致拒绝服务(进程崩溃或无限循环) NFC NDEF 记录,触发越界读取。

在稳定版上可用的版本是wpa_supplicant 2.3,常规版本sources.list不可能将当前版本升级到 wpa_supplicant 2.5,为什么 Debian 稳定版保留一些过时(易受攻击)的软件包?

答案1

Debian 有安全跟踪器,可以显示所有受支持版本中 CVE 的状态。这是你的:

https://security-tracker.debian.org/tracker/CVE-2015-8041

您可以检查它是否已在版本中修复2.3-1+deb8u3。该修复可能已向后移植到旧版本,这可以防止在稳定版本(稳定版本点)中重新调整到新版本时破坏其他内容。

答案2

允许远程个人导致软件崩溃 (DoS) 的错误与我们通常在谈论“漏洞”时所想到的风险级别并不完全相同。我不会称其为“脆弱”包;否则,您将把任何可能导致程序崩溃的错误提升为安全“漏洞”。

另外,我不清楚这是否真的可以在任何真正的 Debian 系统上利用。请参阅中的评论https://w1.fi/security/2015-5/incomplete-wps-and-p2p-nfc-ndef-record-payload-length-validation.txthttp://www.openwall.com/lists/oss-security/2015/11/02/5:

注意:尚未确定 NFC 堆栈实现能够将格式错误的 NDEF 记录传递给 hostapd/wpa_supplicant。因此,尚不清楚实际中是否会触发该问题。

一如既往,安全与风险管理有关。对我来说,这个错误造成的风险水平听起来相当低。

相关内容