domingo, 16 de fevereiro de 2020
Atualização de segurança de nível moderado do openSUSE para o hostapd, aviso openSUSE: 2020: 0222-1:
Confira !!
Uma atualização que corrige 7 vulnerabilidades já está disponível.
Atualização de segurança do openSUSE: Atualização de segurança para o hostapd
______________________________________________________________________________
ID do anúncio: openSUSE-SU-2020: 0222-1
Classificação: moderado
Referências: # 1056061
Referências cruzadas: CVE-2017-13082 CVE-2019-9494 CVE-2019-9495
CVE-2019-9496 CVE-2019-9497 CVE-2019-9498
CVE-2019-9499
Produtos afetados:
openSUSE Leap 15.1
Backports do openSUSE SLE-15-SP1
BackSUSE do openSUSE SLE-15
______________________________________________________________________________
Uma atualização que corrige 7 vulnerabilidades já está disponível.
Descrição:
Esta atualização para o hostapd corrige os seguintes problemas:
O hostapd foi atualizado para a versão 2.9:
* Alterações no SAE
- desativar o uso de grupos usando curvas Brainpool
- proteção aprimorada contra ataques de canal lateral
[https://w1.fi/security/2019-6/]
* Alterações no EAP-pwd
- desativar o uso de grupos usando curvas Brainpool
- proteção aprimorada contra ataques de canal lateral
[https://w1.fi/security/2019-6/]
* associação fixa do domínio de mobilidade inicial do FT-EAP usando o cache PMKSA
* configuração adicionada da política de tempo de antena
* FILS fixos e RSNE em quadros de resposta de (re) associação
* analisador DPRI de inicialização do DPP fixo da lista de canais
* Adicionado suporte à limitação regulatória do WMM (para ETSI)
* suporte adicionado ao Contrato de Chave MACsec usando IEEE 802.1X / PSK
* suporte experimental adicionado ao servidor EAP-TEAP (RFC 7170)
* suporte experimental adicionado ao servidor EAP-TLS com TLS v1.3
* suporte adicionado para dois certificados / chaves de servidor (RSA / ECC)
* adicionou AKMSuiteSelector em "STA "controlar os dados da interface para
determinar com AKM foi usado para uma associação
* foi adicionado o parâmetro eap_sim_id para permitir o pseudônimo de servidor EAP-SIM / AKA e
uso de nova autenticação rápida para ser desativado
* consertado um gabinete de canto de operação ECDH com OpenSSL
Atualize para a versão 2.8
* Alterações no SAE
- adicionado suporte para o SAE Password Identifier
- alterou a configuração padrão para ativar apenas o grupo 19 (ou seja, desabilitar
grupos 20, 21, 25, 26 da configuração padrão) e desabilite todos
grupos inadequados completamente baseados em alterações REVmd
- mecanismo de token anti-entupimento aprimorado e quadro de autenticação SAE
processamento durante carga pesada da CPU; isso mitiga alguns problemas com
possíveis ataques DoS tentando inundar um AP com grande número
de mensagens SAE
- adicionado campo Grupo Cíclico Finito no código de status 77 respostas
- rejeitar o uso de grupos inadequados com base em novas orientações de implementação
em REVmd (permita apenas grupos FFC com prime> = 3072 bits e grupos ECC
com prime> = 256)
- minimizar as diferenças de tempo e uso de memória na derivação PWE
[https://w1.fi/security/2019-1/] (CVE-2019-9494)
- correção confirmada validação de mensagem em casos de erro
[https://w1.fi/security/2019-3/] (CVE-2019-9496)
* Alterações no EAP-pwd
- minimizar as diferenças de tempo e uso de memória na derivação PWE
[https://w1.fi/security/2019-2/] (CVE-2019-9495)
- verificar escalar / elemento do mesmo nível [https://w1.fi/security/2019-4/]
(CVE-2019-9497 e CVE-2019-9498)
- corrigir problema de remontagem de mensagens com fragmentos inesperados
[https://w1.fi/security/2019-5/]
- impor regras de geração de rand, mascarar mais estritamente
- corrigir um vazamento de memória na derivação PWE
- desaprovar grupos ECC com um primo abaixo de 256 bits (grupos 25, 26 e 27)
* Alterações no Hotspot 2.0
- suporte adicionado para o release número 3
- rejeitar a liberação 2 ou associação mais recente sem PMF
* suporte adicionado para validação de canal operacional RSN (CONFIG_OCV = ye
parâmetro de configuração ocv = 1)
* Adicionado suporte ao protocolo Multi-AP
* adicionada configuração de resposta FTM
* build fixo com LibreSSL
* Solução alternativa FT / RRB adicionada para preenchimento curto de quadros Ethernet
* derivação KEK2 fixa para FILS + FT
* adicionado rejeição de associação baseada em RSSI da OCE
* funcionalidade estendida de relatórios de beacon
* VLAN changes
- permite gerenciamento de VLAN local com autenticação RADIUS remota
- adicione senha WPA / WPA2 / atribuição de VLAN baseada em PSK
* OpenSSL: permite que políticas em todo o sistema sejam substituídas
* PEAP estendido para derivar o EMSK para permitir o uso com ERP / FILS
* WPS estendido para permitir que a configuração SAE seja adicionada automaticamente para
PSK (wps_cred_add_sae = 1)
* Quadro fixo Ação de Consulta FT e SA com casos de AP-MLME-no-driver
* OWE: permite que o elemento Diffie-Hellman Parameter seja incluído no DPP no
preparação para extensão de protocolo DPP
* Servidor RADIUS: começou a aceitar o ERP keyName-NAI como identidade do usuário
automaticamente sem corresponder à entrada do banco de dados EAP
* PTK rekeying fixo com FILS e FT
wpa_supplicant:
* Alterações no SAE
- adicionado suporte para o SAE Password Identifier
- alterou a configuração padrão para ativar apenas os grupos 19, 20, 21 (ou seja,
desativar grupos 25 e 26) e desativar todos os grupos inadequados completamente
com base nas alterações REVmd
- não regenere PWE desnecessariamente quando o AP usa o anti-entupimento
mecanismos de token
- corrigimos alguns casos de associação em que o SAE e o FT-SAE estavam habilitados
na estação e no AP selecionado
- começou a preferir FT-SAE sobre SAE AKM se ambos estiverem ativados
- começou a preferir o FT-SAE ao FT-PSK se ambos estiverem ativados
- FT-SAE fixo quando o cache SAE PMKSA é usado
- rejeitar o uso de grupos inadequados com base em novas orientações de implementação
em REVmd (permita apenas grupos FFC com prime> = 3072 bits e grupos ECC
com prime> = 256)
- minimizar as diferenças de tempo e uso de memória na derivação PWE
[https://w1.fi/security/2019-1/] (CVE-2019-9494)
* Alterações no EAP-pwd
- minimizar as diferenças de tempo e uso de memória na derivação PWE
[https://w1.fi/security/2019-2/] (CVE-2019-9495)
- verificar escalar / elemento do servidor [https://w1.fi/security/2019-4/]
(CVE-2019-9499)
- corrigir problema de remontagem de mensagens com fragmentos inesperados
[https://w1.fi/security/2019-5/]
- impor regras de geração de rand, mascarar mais estritamente
- corrigir um vazamento de memória na derivação PWE
- desaprovar grupos ECC com um primo abaixo de 256 bits (grupos 25, 26 e 27)
* CONFIG_IEEE80211R fixo = compilação y (FT) sem CONFIG_FILS = y
* Alterações no Hotspot 2.0
- não indique o número da versão que é maior do que o AP suportado
- suporte adicionado para o release número 3
- habilitar o PMF automaticamente para perfis de rede criados a partir de credenciais
* economia de perfil de rede OWE fixa
* salvamento fixo do perfil de rede DPP
* suporte adicionado para validação de canal operacional RSN (CONFIG_OCV = ye
parâmetro de perfil de rede ocv = 1)
* adicionado suporte STA de backhaul Multi-AP
* build fixo com LibreSSL
* número de correções e extensões MKA / MACsec
* domain_match e domain_suffix_match estendidos para permitir a lista de valores
* dNSName corrigido correspondente em domain_match e domain_suffix_match quando
usando wolfSSL
* começou a preferir o FT-EAP-SHA384 ao WPA-EAP-SUITE-B-192 AKM, se ambos forem
ativado
* nl80211 estendido Conecte e autenticação externa para dar suporte ao SAE,
FT-SAE, FT-EAP-SHA384
* derivação KEK2 fixa para FILS + FT
* arquivo client_cert estendido para permitir o carregamento de uma cadeia de codificações PEM
certificados
* funcionalidade estendida de relatórios de beacon
* interface D-Bus estendida com número de novas propriedades
* corrigida uma regressão no FT-over-DS com drivers baseados no mac80211
* OpenSSL: permite que políticas em todo o sistema sejam substituídas
* Indicação de sinalizadores de driver estendidos para 802.1X e PSK separados de 4 vias
capacidade de descarregamento do aperto de mão
* suporte adicional para uso aleatório de endereço de dispositivo / interface P2P
* PEAP estendido para derivar o EMSK para permitir o uso com ERP / FILS
* WPS estendido para permitir que a configuração SAE seja adicionada automaticamente para
PSK (wps_cred_add_sae = 1)
* Removido o suporte para a interface D-Bus antiga (CONFIG_CTRL_IFACE_DBUS)
* domain_match e domain_suffix_match estendidos para permitir a lista de valores
* adicionou uma solução alternativa do RSN para APs PMF com comportamento inadequado que anunciam IGTK / BIP
KeyID usando ordem de bytes incorreta
* PTK rekeying fixo com FILS e FT
- Ativada edição de CLI e suporte a histórico.
Atualize para a versão 2.7
* reutilização de número de pacote WPA fixo com mensagens repetidas e chave
reinstalação [http://w1.fi/security/2017-1/] (CVE-2017-13082)
(boo # 1056061)
* suporte adicionado para autenticação de chave compartilhada FILS (IEEE 802.11ai)
* suporte adicionado ao OWE (Opportunistic Wireless Encryption, RFC 8110; e
modo de transição definido pelo WFA)
* suporte adicionado ao DPP (Wi-Fi Device Provisioning Protocol)
* FT:
- geração local adicionada de PMK-R0 / PMK-R1 para FT-PSK
(ft_psk_generate_local = 1)
- substituiu o protocolo inter-AP por um design mais limpo, mais fácil
extensível; isso quebra a compatibilidade com versões anteriores e requer todos os APs em
o ESS seja atualizado ao mesmo tempo para manter a funcionalidade do FT
- suporte adicionado para curinga R0KH / R1KH
- substituiu o parâmetro r0_key_lifetime (minutos) por ft_r0_key_lifetime
(segundos)
- uso fixo do wpa_psk_file para o FT-PSK
- correspondência FT-SAE PMKID fixa
- expiração adicionada ao cache PMK-R0 e PMK-R1
- suporte IEEE VLAN adicionado (incluindo VLANs marcadas)
- suporte adicionado para AKM baseado em SHA384
* SAE
- corrigimos alguns casos de cache do PMKSA com o SAE
- suporte adicionado para configurar a senha SAE separadamente do WPA2
PSK / frase secreta
- opção adicionada para exigir MFP para associações SAE (sae_require_pmf = 1)
- integridade fixa de PTK e EAPOL-Key e seleção do algoritmo key-wrap para
SAE; nota: isso não é compatível com versões anteriores, ou seja, o AP e
implementações do lado da estação precisarão ser atualizadas ao mesmo tempo
manter a interoperabilidade
- suporte adicionado para o Identificador de senha
* hostapd_cli: suporte adicionado para histórico e conclusão de comandos
* suporte adicionado para solicitar relatório de farol
* grande número de outras correções, limpeza e extensões
* opção adicionada para configurar os limites de nova tentativa de chave EAPOL (wpa_group_update_count
e wpa_pairwise_update_count)
* removeu todas as funcionalidades do PeerKey
* regressão fixa da configuração do modo nl80211 AP com Linux 4.15 e mais recente
* suporte adicionado para usar a biblioteca criptográfica wolfSSL
* corrigimos alguns casos de coexistência de 20/40 MHz em que o BSS poderia cair para 20
MHz, mesmo quando 40 MHz seriam permitidos
* Hotspot 2.0
- suporte adicionado para definir o elemento ANQP do URL do local (venue_url)
- suporte adicional para publicidade de ícones do operador do Hotspot 2.0
- suporte adicionado ao elemento Roaming Consortium Selection
- suporte adicionado aos Termos e Condições
- suporte adicionado para conexão OSEN em um RSN BSS compartilhado
* Adicionado suporte para o uso do OpenSSL 1.1.1
* Adicionado suporte ao servidor EAP-pwd para senhas salgadas
Instruções de patch:
Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
como o YaST online_update ou "zypper patch".
Como alternativa, você pode executar o comando listado para o seu produto:
- openSUSE Leap 15.1:
zypper no patch -t openSUSE-2020-222 = 1
- Backports do openSUSE SLE-15-SP1:
zypper no patch -t openSUSE-2020-222 = 1
- BackSUSE openSUSE SLE-15:
zypper no patch -t openSUSE-2020-222 = 1
Lista de Pacotes:
- openSUSE Leap 15.1 (x86_64):
hostapd-2.9-lp151.4.3.1
hostapd-debuginfo-2.9-lp151.4.3.1
hostapd-debugsource-2.9-lp151.4.3.1
- OpenSUSE Backports SLE-15-SP1 (aarch64 ppc64le s390x x86_64):
hostapd-2.9-bp151.5.3.1
- OpenSUSE Backports SLE-15 (aarch64 ppc64le s390x x86_64):
hostapd-2.9-bp150.15.1
hostapd-debuginfo-2.9-bp150.15.1
hostapd-debugsource-2.9-bp150.15.1
Referências:
https://www.suse.com/security/cve/CVE-2017-13082.html
https://www.suse.com/security/cve/CVE-2019-9494.html
https://www.suse.com/security/cve/CVE-2019-9495.html
https://www.suse.com/security/cve/CVE-2019-9496.html
https://www.suse.com/security/cve/CVE-2019-9497.html
https://www.suse.com/security/cve/CVE-2019-9498.html
https://www.suse.com/security/cve/CVE-2019-9499.html
https://bugzilla.suse.com/1056061
-
Fonte
Até a próxima !!
Marcadores: Linux, Android, Segurança
Linux,
linux distros,
Linux Segurança,
Notícia
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário