Atualização de segurança de nível moderado do openSUSE para o hostapd, aviso openSUSE: 2020: 0222-1:

Confira !!



Uma atualização que corrige 7 vulnerabilidades já está disponível.
   Atualização de segurança do openSUSE: Atualização de segurança para o hostapd
______________________________________________________________________________

ID do anúncio: openSUSE-SU-2020: 0222-1
Classificação: moderado
Referências: # 1056061
Referências cruzadas: CVE-2017-13082 CVE-2019-9494 CVE-2019-9495
                    CVE-2019-9496 CVE-2019-9497 CVE-2019-9498
                    CVE-2019-9499
Produtos afetados:
                    openSUSE Leap 15.1
                    Backports do openSUSE SLE-15-SP1
                    BackSUSE do openSUSE SLE-15
______________________________________________________________________________

   Uma atualização que corrige 7 vulnerabilidades já está disponível.

Descrição:

   Esta atualização para o hostapd corrige os seguintes problemas:

   O hostapd foi atualizado para a versão 2.9:

   * Alterações no SAE
     - desativar o uso de grupos usando curvas Brainpool
     - proteção aprimorada contra ataques de canal lateral
       [https://w1.fi/security/2019-6/]
   * Alterações no EAP-pwd
     - desativar o uso de grupos usando curvas Brainpool
     - proteção aprimorada contra ataques de canal lateral
       [https://w1.fi/security/2019-6/]
   * associação fixa do domínio de mobilidade inicial do FT-EAP usando o cache PMKSA
   * configuração adicionada da política de tempo de antena
   * FILS fixos e RSNE em quadros de resposta de (re) associação
   * analisador DPRI de inicialização do DPP fixo da lista de canais
   * Adicionado suporte à limitação regulatória do WMM (para ETSI)
   * suporte adicionado ao Contrato de Chave MACsec usando IEEE 802.1X / PSK
   * suporte experimental adicionado ao servidor EAP-TEAP (RFC 7170)
   * suporte experimental adicionado ao servidor EAP-TLS com TLS v1.3
   * suporte adicionado para dois certificados / chaves de servidor (RSA / ECC)
   * adicionou AKMSuiteSelector em "STA "controlar os dados da interface para
     determinar com AKM foi usado para uma associação
   * foi adicionado o parâmetro eap_sim_id para permitir o pseudônimo de servidor EAP-SIM / AKA e
     uso de nova autenticação rápida para ser desativado
   * consertado um gabinete de canto de operação ECDH com OpenSSL

   Atualize para a versão 2.8
   * Alterações no SAE
     - adicionado suporte para o SAE Password Identifier
     - alterou a configuração padrão para ativar apenas o grupo 19 (ou seja, desabilitar
       grupos 20, 21, 25, 26 da configuração padrão) e desabilite todos
       grupos inadequados completamente baseados em alterações REVmd
     - mecanismo de token anti-entupimento aprimorado e quadro de autenticação SAE
       processamento durante carga pesada da CPU; isso mitiga alguns problemas com
       possíveis ataques DoS tentando inundar um AP com grande número
       de mensagens SAE
     - adicionado campo Grupo Cíclico Finito no código de status 77 respostas
     - rejeitar o uso de grupos inadequados com base em novas orientações de implementação
       em REVmd (permita apenas grupos FFC com prime> = 3072 bits e grupos ECC
       com prime> = 256)
     - minimizar as diferenças de tempo e uso de memória na derivação PWE
       [https://w1.fi/security/2019-1/] (CVE-2019-9494)
     - correção confirmada validação de mensagem em casos de erro
       [https://w1.fi/security/2019-3/] (CVE-2019-9496)
   * Alterações no EAP-pwd
     - minimizar as diferenças de tempo e uso de memória na derivação PWE
       [https://w1.fi/security/2019-2/] (CVE-2019-9495)
     - verificar escalar / elemento do mesmo nível [https://w1.fi/security/2019-4/]
       (CVE-2019-9497 e CVE-2019-9498)
     - corrigir problema de remontagem de mensagens com fragmentos inesperados
       [https://w1.fi/security/2019-5/]
     - impor regras de geração de rand, mascarar mais estritamente
     - corrigir um vazamento de memória na derivação PWE
     - desaprovar grupos ECC com um primo abaixo de 256 bits (grupos 25, 26 e 27)
   * Alterações no Hotspot 2.0
     - suporte adicionado para o release número 3
     - rejeitar a liberação 2 ou associação mais recente sem PMF
   * suporte adicionado para validação de canal operacional RSN (CONFIG_OCV = ye
     parâmetro de configuração ocv = 1)
   * Adicionado suporte ao protocolo Multi-AP
   * adicionada configuração de resposta FTM
   * build fixo com LibreSSL
   * Solução alternativa FT / RRB adicionada para preenchimento curto de quadros Ethernet
   * derivação KEK2 fixa para FILS + FT
   * adicionado rejeição de associação baseada em RSSI da OCE
   * funcionalidade estendida de relatórios de beacon
   * VLAN changes
     - permite gerenciamento de VLAN local com autenticação RADIUS remota
     - adicione senha WPA / WPA2 / atribuição de VLAN baseada em PSK
   * OpenSSL: permite que políticas em todo o sistema sejam substituídas
   * PEAP estendido para derivar o EMSK para permitir o uso com ERP / FILS
   * WPS estendido para permitir que a configuração SAE seja adicionada automaticamente para
     PSK (wps_cred_add_sae = 1)
   * Quadro fixo Ação de Consulta FT e SA com casos de AP-MLME-no-driver
   * OWE: permite que o elemento Diffie-Hellman Parameter seja incluído no DPP no
     preparação para extensão de protocolo DPP
   * Servidor RADIUS: começou a aceitar o ERP keyName-NAI como identidade do usuário
     automaticamente sem corresponder à entrada do banco de dados EAP
   * PTK rekeying fixo com FILS e FT

   wpa_supplicant:
   * Alterações no SAE
     - adicionado suporte para o SAE Password Identifier
     - alterou a configuração padrão para ativar apenas os grupos 19, 20, 21 (ou seja,
       desativar grupos 25 e 26) e desativar todos os grupos inadequados completamente
       com base nas alterações REVmd
     - não regenere PWE desnecessariamente quando o AP usa o anti-entupimento
       mecanismos de token
     - corrigimos alguns casos de associação em que o SAE e o FT-SAE estavam habilitados
       na estação e no AP selecionado
     - começou a preferir FT-SAE sobre SAE AKM se ambos estiverem ativados
     - começou a preferir o FT-SAE ao FT-PSK se ambos estiverem ativados
     - FT-SAE fixo quando o cache SAE PMKSA é usado
     - rejeitar o uso de grupos inadequados com base em novas orientações de implementação
       em REVmd (permita apenas grupos FFC com prime> = 3072 bits e grupos ECC
       com prime> = 256)
     - minimizar as diferenças de tempo e uso de memória na derivação PWE
       [https://w1.fi/security/2019-1/] (CVE-2019-9494)
   * Alterações no EAP-pwd
     - minimizar as diferenças de tempo e uso de memória na derivação PWE
       [https://w1.fi/security/2019-2/] (CVE-2019-9495)
     - verificar escalar / elemento do servidor [https://w1.fi/security/2019-4/]
       (CVE-2019-9499)
     - corrigir problema de remontagem de mensagens com fragmentos inesperados
       [https://w1.fi/security/2019-5/]
     - impor regras de geração de rand, mascarar mais estritamente
     - corrigir um vazamento de memória na derivação PWE
     - desaprovar grupos ECC com um primo abaixo de 256 bits (grupos 25, 26 e 27)
   * CONFIG_IEEE80211R fixo = compilação y (FT) sem CONFIG_FILS = y
   * Alterações no Hotspot 2.0
     - não indique o número da versão que é maior do que o AP suportado
     - suporte adicionado para o release número 3
     - habilitar o PMF automaticamente para perfis de rede criados a partir de credenciais
   * economia de perfil de rede OWE fixa
   * salvamento fixo do perfil de rede DPP
   * suporte adicionado para validação de canal operacional RSN (CONFIG_OCV = ye
     parâmetro de perfil de rede ocv = 1)
   * adicionado suporte STA de backhaul Multi-AP
   * build fixo com LibreSSL
   * número de correções e extensões MKA / MACsec
   * domain_match e domain_suffix_match estendidos para permitir a lista de valores
   * dNSName corrigido correspondente em domain_match e domain_suffix_match quando
     usando wolfSSL
   * começou a preferir o FT-EAP-SHA384 ao WPA-EAP-SUITE-B-192 AKM, se ambos forem
     ativado
   * nl80211 estendido Conecte e autenticação externa para dar suporte ao SAE,
     FT-SAE, FT-EAP-SHA384
   * derivação KEK2 fixa para FILS + FT
   * arquivo client_cert estendido para permitir o carregamento de uma cadeia de codificações PEM
     certificados
   * funcionalidade estendida de relatórios de beacon
   * interface D-Bus estendida com número de novas propriedades
   * corrigida uma regressão no FT-over-DS com drivers baseados no mac80211
   * OpenSSL: permite que políticas em todo o sistema sejam substituídas
   * Indicação de sinalizadores de driver estendidos para 802.1X e PSK separados de 4 vias
     capacidade de descarregamento do aperto de mão
   * suporte adicional para uso aleatório de endereço de dispositivo / interface P2P
   * PEAP estendido para derivar o EMSK para permitir o uso com ERP / FILS
   * WPS estendido para permitir que a configuração SAE seja adicionada automaticamente para
     PSK (wps_cred_add_sae = 1)
   * Removido o suporte para a interface D-Bus antiga (CONFIG_CTRL_IFACE_DBUS)
   * domain_match e domain_suffix_match estendidos para permitir a lista de valores
   * adicionou uma solução alternativa do RSN para APs PMF com comportamento inadequado que anunciam IGTK / BIP
     KeyID usando ordem de bytes incorreta
   * PTK rekeying fixo com FILS e FT

   - Ativada edição de CLI e suporte a histórico.

   Atualize para a versão 2.7

   * reutilização de número de pacote WPA fixo com mensagens repetidas e chave
     reinstalação [http://w1.fi/security/2017-1/] (CVE-2017-13082)
     (boo # 1056061)
   * suporte adicionado para autenticação de chave compartilhada FILS (IEEE 802.11ai)
   * suporte adicionado ao OWE (Opportunistic Wireless Encryption, RFC 8110; e
     modo de transição definido pelo WFA)
   * suporte adicionado ao DPP (Wi-Fi Device Provisioning Protocol)
   * FT:
     - geração local adicionada de PMK-R0 / PMK-R1 para FT-PSK
       (ft_psk_generate_local = 1)
     - substituiu o protocolo inter-AP por um design mais limpo, mais fácil
       extensível; isso quebra a compatibilidade com versões anteriores e requer todos os APs em
       o ESS seja atualizado ao mesmo tempo para manter a funcionalidade do FT
     - suporte adicionado para curinga R0KH / R1KH
     - substituiu o parâmetro r0_key_lifetime (minutos) por ft_r0_key_lifetime
       (segundos)
     - uso fixo do wpa_psk_file para o FT-PSK
     - correspondência FT-SAE PMKID fixa
     - expiração adicionada ao cache PMK-R0 e PMK-R1
     - suporte IEEE VLAN adicionado (incluindo VLANs marcadas)
     - suporte adicionado para AKM baseado em SHA384
   * SAE
     - corrigimos alguns casos de cache do PMKSA com o SAE
     - suporte adicionado para configurar a senha SAE separadamente do WPA2
       PSK / frase secreta
     - opção adicionada para exigir MFP para associações SAE (sae_require_pmf = 1)
     - integridade fixa de PTK e EAPOL-Key e seleção do algoritmo key-wrap para
       SAE; nota: isso não é compatível com versões anteriores, ou seja, o AP e
       implementações do lado da estação precisarão ser atualizadas ao mesmo tempo
       manter a interoperabilidade
     - suporte adicionado para o Identificador de senha
   * hostapd_cli: suporte adicionado para histórico e conclusão de comandos
   * suporte adicionado para solicitar relatório de farol
   * grande número de outras correções, limpeza e extensões
   * opção adicionada para configurar os limites de nova tentativa de chave EAPOL (wpa_group_update_count
     e wpa_pairwise_update_count)
   * removeu todas as funcionalidades do PeerKey
   * regressão fixa da configuração do modo nl80211 AP com Linux 4.15 e mais recente
   * suporte adicionado para usar a biblioteca criptográfica wolfSSL
   * corrigimos alguns casos de coexistência de 20/40 MHz em que o BSS poderia cair para 20
     MHz, mesmo quando 40 MHz seriam permitidos
   * Hotspot 2.0
     - suporte adicionado para definir o elemento ANQP do URL do local (venue_url)
     - suporte adicional para publicidade de ícones do operador do Hotspot 2.0
     - suporte adicionado ao elemento Roaming Consortium Selection
     - suporte adicionado aos Termos e Condições
     - suporte adicionado para conexão OSEN em um RSN BSS compartilhado
   * Adicionado suporte para o uso do OpenSSL 1.1.1
   * Adicionado suporte ao servidor EAP-pwd para senhas salgadas


Instruções de patch:

   Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
   como o YaST online_update ou "zypper patch".

   Como alternativa, você pode executar o comando listado para o seu produto:

   - openSUSE Leap 15.1:

      zypper no patch -t openSUSE-2020-222 = 1

   - Backports do openSUSE SLE-15-SP1:

      zypper no patch -t openSUSE-2020-222 = 1

   - BackSUSE openSUSE SLE-15:

      zypper no patch -t openSUSE-2020-222 = 1



Lista de Pacotes:

   - openSUSE Leap 15.1 (x86_64):

      hostapd-2.9-lp151.4.3.1
      hostapd-debuginfo-2.9-lp151.4.3.1
      hostapd-debugsource-2.9-lp151.4.3.1

   - OpenSUSE Backports SLE-15-SP1 (aarch64 ppc64le s390x x86_64):

      hostapd-2.9-bp151.5.3.1

   - OpenSUSE Backports SLE-15 (aarch64 ppc64le s390x x86_64):

      hostapd-2.9-bp150.15.1
      hostapd-debuginfo-2.9-bp150.15.1
      hostapd-debugsource-2.9-bp150.15.1


Referências:

   https://www.suse.com/security/cve/CVE-2017-13082.html
   https://www.suse.com/security/cve/CVE-2019-9494.html
   https://www.suse.com/security/cve/CVE-2019-9495.html
   https://www.suse.com/security/cve/CVE-2019-9496.html
   https://www.suse.com/security/cve/CVE-2019-9497.html
   https://www.suse.com/security/cve/CVE-2019-9498.html
   https://www.suse.com/security/cve/CVE-2019-9499.html
   https://bugzilla.suse.com/1056061

-

Fonte

Até a próxima !!