Confira !!
segurança do openSUSE: atualização de segurança para wpa_supplicant
______________________________________________________________________________
ID do anúncio: openSUSE-SU-2020: 2059-1
Avaliação: moderada
Referências: # 1131644 # 1131868 # 1131870 # 1131871 # 1131872
# 1131874 # 1133640 # 1144443 # 1150934 # 1156920
# 1166933 # 1167331 # 930077 # 930078 # 930079
Referências cruzadas: CVE-2015-4141 CVE-2015-4142 CVE-2015-4143
CVE-2015-8041 CVE-2017-13077 CVE-2017-13078
CVE-2017-13079 CVE-2017-13080 CVE-2017-13081
CVE-2017-13082 CVE-2017-13086 CVE-2017-13087
CVE-2017-13088 CVE-2018-14526 CVE-2019-11555
CVE-2019-13377 CVE-2019-16275 CVE-2019-9494
CVE-2019-9495 CVE-2019-9497 CVE-2019-9498
CVE-2019-9499
Produtos afetados:
openSUSE Leap 15.2
______________________________________________________________________________
Uma atualização que corrige 22 vulnerabilidades já está disponível.
Descrição:
Esta atualização para wpa_supplicant corrige os seguintes problemas:
Problema de segurança corrigido:
- CVE-2019-16275: Corrigido um desvio de proteção de desconexão PMF no modo AP
(bsc # 1150934).
Problemas de não segurança corrigidos:
- Habilite o suporte SAE (jsc # SLE-14992).
- Limita o nome P2P_DEVICE ao tamanho apropriado do ifname.
- Consertar wlan perverso (bsc # 1156920)
- Restaurar fi.epitest.hostap.WPASupplicant.service (bsc # 1167331)
- Com v2.9 fi.epitest.hostap.WPASupplicant.service é obsoleto
(bsc # 1167331)
- Corrigir a configuração WLAN na inicialização com o wicked. (bsc # 1166933)
- Atualização para a versão 2.9:
* Mudanças SAE
- desabilitar o uso de grupos usando curvas Brainpool
- proteção aprimorada contra ataques de canal lateral
[https://w1.fi/security/2019-6/]
* Alterações EAP-pwd
- desabilitar o uso de grupos usando curvas Brainpool
- permite que o conjunto de grupos seja configurado (eap_pwd_groups)
- proteção aprimorada contra ataques de canal lateral
[https://w1.fi/security/2019-6/]
* fixa associação de domínio de mobilidade inicial FT-EAP usando cache PMKSA
(desativado por padrão para compatibilidade com versões anteriores; pode ser ativado com
ft_eap_pmksa_caching = 1)
* corrigiu uma regressão no carregamento do motor OpenSSL 1.1+
* validação adicionada de RSNE em quadros de resposta de (re) associação
* corrigido o analisador de URI de bootstrap de DPP da lista de canais
* Reautenticação rápida EAP-SIM / AKA estendida para permitir o uso com FILS
* estendido ca_cert_blob para oferecer suporte ao formato PEM
* robustez aprimorada de agendamento de frame de ação P2P
* adicionado suporte para EAP-SIM / AKA usando identidade anonymous @ realm
* Seleção fixa de credenciais de Hotspot 2.0 com base em consórcio de roaming para
ignorar credenciais sem um método EAP específico
* adicionado suporte experimental para EAP-TEAP peer (RFC 7170)
* adicionado suporte experimental para par EAP-TLS com TLS v1.3
* corrigido uma regressão na configuração do parâmetro WMM para um par TDLS
* corrigiu uma regressão em operação com drivers que descarregam 802.1X
Handshake de 4 vias
* consertou um caso de canto de operação ECDH com OpenSSL
* Mudanças SAE
- adicionado suporte para SAE Password Identifier
- configuração padrão alterada para permitir apenas os grupos 19, 20, 21
(ou seja, desative os grupos 25 e 26) e desative todos os grupos inadequados
completamente baseado em mudanças REVmd
- não regenere o PWE desnecessariamente quando o AP usa o
mecanismos de token anti-entupimento
- corrigiu alguns casos de associação em que SAE e FT-SAE estavam habilitados
na estação e no AP selecionado
- passou a preferir FT-SAE em vez de SAE AKM se ambos estiverem habilitados
- passou a preferir FT-SAE em vez de FT-PSK se ambos estiverem habilitados
- FT-SAE corrigido quando o cache SAE PMKSA é usado
- rejeitar o uso de grupos inadequados com base na nova implementação
orientação em REVmd (permitir apenas grupos FFC com prime> = 3072 bits e ECC
grupos com primos> = 256)
- minimizar as diferenças de tempo e uso de memória na derivação PWE
[https://w1.fi/security/2019-1/] (CVE-2019-9494, bsc # 1131868)
* Alterações EAP-pwd
- minimizar as diferenças de tempo e uso de memória na derivação PWE
[https://w1.fi/security/2019-2/] (CVE-2019-9495, bsc # 1131870)
- verificar escalar / elemento do servidor [https://w1.fi/security/2019-4/]
(CVE-2019-9497, CVE-2019-9498, CVE-2019-9499, bsc # 1131874, bsc # 1131872,
bsc # 1131871, bsc # 1131644)
- corrigir problema de remontagem de mensagem com fragmento inesperado
[https://w1.fi/security/2019-5/] (CVE-2019-11555, bsc # 1133640)
- aplicar rand, regras de geração de máscara mais estritamente
- consertar um vazamento de memória na derivação PWE
- proibir grupos ECC com um primo abaixo de 256 bits (grupos 25, 26 e
27)
- Atualização de ataque de canal lateral SAE / EAP-pwd
[https://w1.fi/security/2019-6/] (CVE-2019-13377, bsc # 1144443)
* corrigido CONFIG_IEEE80211R = y (FT) build sem CONFIG_FILS = y
* Alterações do Hotspot 2.0
- não indique o número de liberação que é maior do que um AP
apoia
- adicionado suporte para a versão número 3
- habilitar PMF automaticamente para perfis de rede criados a partir de
credenciais
* salvamento de perfil de rede OWE fixo
* salvamento de perfil de rede DPP fixo
* adicionado suporte para validação de canal operacional RSN (CONFIG_OCV = y e
parâmetro de perfil de rede ocv = 1)
* adicionado suporte STA de backhaul Multi-AP
* compilação corrigida com LibreSSL
* número de correções e extensões MKA / MACsec
* estendido domain_match e domain_suffix_match para permitir a lista de valores
* foi corrigida a correspondência de dNSName em domain_match e domain_suffix_match quando
usando wolfSSL
* começou a preferir FT-EAP-SHA384 em vez de WPA-EAP-SUITE-B-192 AKM se ambos
estão habilitados
* Conexão estendida nl80211 e autenticação externa para suportar SAE,
FT-SAE, FT-EAP-SHA384
* derivação KEK2 fixa para FILS + FT
* arquivo client_cert estendido para permitir o carregamento de uma cadeia de codificados PEM
certificados
* funcionalidade de relatório de farol estendido
* Interface D-Bus estendida com número de novas propriedades
* corrigido uma regressão no FT-over-DS com drivers baseados em mac80211
* OpenSSL: permite que as políticas de todo o sistema sejam substituídas
* Indicação de sinalizadores de driver estendidos para 802.1X e PSK de 4 vias separados
capacidade de transferência de handshake
* adicionado suporte para uso aleatório de dispositivo P2P / endereço de interface
* PEAP estendido para derivar EMSK para permitir o uso com ERP / FILS
* WPS estendido para permitir que a configuração SAE seja adicionada automaticamente para
PSK (wps_cred_add_sae = 1)
* suporte removido para a interface D-Bus antiga (CONFIG_CTRL_IFACE_DBUS)
* estendido domain_match e domain_suffix_match para permitir a lista de valores
* adicionou uma solução alternativa RSN para APs PMF com comportamento inadequado que anunciam
IGTK / BIP KeyID usando ordem de bytes incorreta
* corrigido PTK rekeying com FILS e FT
* reutilização de número de pacote WPA fixo com mensagens repetidas e chave
reinstalação [https://w1.fi/security/2017-1/] (CVE-2017-13077,
CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081,
CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088)
* foi corrigida a descriptografia de chave EAPOL não autenticada em wpa_supplicant
[https://w1.fi/security/2018-1/] (CVE-2018-14526)
* adicionado suporte para autenticação de chave compartilhada FILS (IEEE 802.11ai)
* adicionado suporte para OWE (Opportunistic Wireless Encryption, RFC 8110;
e modo de transição definido por WFA)
* adicionado suporte para DPP (protocolo de provisionamento de dispositivo Wi-Fi)
* adicionado suporte para caso chave RSA 3k com nível Suite B de 192 bits
* consertou o cache do Suite B PMKSA para não atualizar o PMKID durante cada 4 vias
aperto de mão
* pré-processamento EAP-pwd corrigido com PasswordHashHash
* adicionado suporte ao cliente EAP-pwd para senhas salgadas
* corrigiu uma regressão na validação de bits proibidos TDLS
* começou a usar a taxa de transferência estimada para evitar sinais indesejados
decisão de roaming baseada na força
* MACsec / MKA:
- novo suporte de interface de driver macsec_linux para o kernel Linux
módulo macsec
- número de correções e extensões
* adicionado suporte para armazenamento externo persistente de cache PMKSA
(Comandos de interface de controle PMKSA_GET / PMKSA_ADD; e
MESH_PMKSA_GET / MESH_PMKSA_SET para a caixa de malha)
* configuração de canal de malha fixa caso de switch pri / s
* adicionado suporte para relatório de beacon
* grande número de outras correções, limpeza e extensões
* adicionado suporte para randomização de endereço local para consultas GAS
(parâmetro gas_rand_mac_addr)
* corrigiu os casos de autenticação ext EAP-SIM / AKA / AKA 'dentro do túnel TLS
* opção adicionada para usar UUID WPS aleatório (auto_uuid = 1)
* adicionado suporte SHA256-hash para correspondência de certificado OCSP
* corrigido EAP-AKA 'para adicionar AT_KDF na falha de sincronização
* corrigiu uma regressão na seleção de candidatos de pré-autenticação RSN
* opção adicionada para configurar conjuntos de criptografia de gerenciamento de grupo permitidos
(parâmetro de perfil de rede group_mgmt)
* removeu todas as funcionalidades PeerKey
* corrigido nl80211 AP e regressão de configuração de modo de malha com Linux
4.15 e mais recentes
* Adicionada opção de configuração ap_isolate para o modo AP
* adicionado suporte para nl80211 para descarregar handshake de 4 vias no driver
* adicionado suporte para usar a biblioteca criptográfica wolfSSL
* SAE
- adicionado suporte para configuração de senha SAE separadamente do WPA2
PSK / senha
- correção da integridade da chave PTK e EAPOL e seleção do algoritmo de quebra de chave
para SAE; nota: isto não é compatível com versões anteriores, ou seja, tanto o AP quanto
as implementações do lado da estação precisarão ser atualizadas ao mesmo tempo para
manter a interoperabilidade
- adicionado suporte para identificador de senha
- correspondência FT-SAE PMKID corrigida
* Hotspot 2.0
- adicionado suporte para busca de elemento ANQP de metadados do ícone do operador
- adicionado suporte para elemento Roaming Consortium Selection
- adicionado suporte para Termos e Condições
- adicionado suporte para conexão OSEN em um RSN BSS compartilhado
- adicionado suporte para buscar informações de URL do local
* adicionado suporte para usar OpenSSL 1.1.1
* FT
- desabilitou o cache PMKSA com FT, pois não é totalmente funcional
- adicionado suporte para AKM baseado em SHA384
- adicionado suporte para cifras BIP BIP-CMAC-256, BIP-GMAC-128,
BIP-GMAC-256, além do BIP-CMAC-128 anteriormente suportado
- corrigida a inclusão adicional do IE no quadro de solicitação de reassociação quando
usando protocolo FT
- Arquivos de serviço alterados para iniciar após a rede (systemd-networkd).
Esta atualização foi importada do SUSE: SLE-15: Projeto de atualização de atualização.
Instruções do patch:
Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
como YaST online_update ou "patch zypper".
Como alternativa, você pode executar o comando listado para o seu produto:
- openSUSE Leap 15.2:
zypper em patch -t openSUSE-2020-2059 = 1
Lista de Pacotes:
- openSUSE Leap 15.2 (i586 x86_64):
wpa_supplicant-2.9-lp152.8.3.1
wpa_supplicant-debuginfo-2.9-lp152.8.3.1
wpa_supplicant-debugsource-2.9-lp152.8.3.1
wpa_supplicant-gui-2.9-lp152.8.3.1
wpa_supplicant-gui-debuginfo-2.9-lp152.8.3.1
Referências:
https://www.suse.com/security/cve/CVE-2015-4141.html
https://www.suse.com/security/cve/CVE-2015-4142.html
https://www.suse.com/security/cve/CVE-2015-4143.html
https://www.suse.com/security/cve/CVE-2015-8041.html
https://www.suse.com/security/cve/CVE-2017-13077.html
https://www.suse.com/security/cve/CVE-2017-13078.html
https://www.suse.com/security/cve/CVE-2017-13079.html
https://www.suse.com/security/cve/CVE-2017-13080.html
https://www.suse.com/security/cve/CVE-2017-13081.html
https://www.suse.com/security/cve/CVE-2017-13082.html
https://www.suse.com/security/cve/CVE-2017-13086.html
https://www.suse.com/security/cve/CVE-2017-13087.html
https://www.suse.com/security/cve/CVE-2017-13088.html
https://www.suse.com/security/cve/CVE-2018-14526.html
https://www.suse.com/security/cve/CVE-2019-11555.html
https://www.suse.com/security/cve/CVE-2019-13377.html
https://www.suse.com/security/cve/CVE-2019-16275.html
https://www.suse.com/security/cve/CVE-2019-9494.html
https://www.suse.com/security/cve/CVE-2019-9495.html
https://www.suse.com/security/cve/CVE-2019-9497.html
https://www.suse.com/security/cve/CVE-2019-9498.html
https://www.suse.com/security/cve/CVE-2019-9499.html
https://bugzilla.suse.com/1131644
https://bugzilla.suse.com/1131868
https://bugzilla.suse.com/1131870
https://bugzilla.suse.com/1131871
https://bugzilla.suse.com/1131872
https://bugzilla.suse.com/1131874
https://bugzilla.suse.com/1133640
https://bugzilla.suse.com/1144443
https://bugzilla.suse.com/1150934
https://bugzilla.suse.com/1156920
https://bugzilla.suse.com/1166933
https://bugzilla.suse.com/1167331
https://bugzilla.suse.com/930077
https://bugzilla.suse.com/930078
https://bugzilla.suse.com/930079
_______________________________________________
Lista de discussão de anúncios de segurança do openSUSE - security-announce@lists.opensuse.org
Para cancelar, envie um email para security-announce-leave@lists.opensuse.org
Listar netiqueta: https://en.opensuse.org/openSUSE:Mailing_list_netiquette
Arquivos da lista: https://lists.opensuse.org/archives/list/ security-announce@lists.opensuse.org
Até a próxima !!
Nenhum comentário:
Postar um comentário