FERRAMENTAS LINUX: Atualização moderada de segurança do openSUSE para o wpa_supplicant, aviso openSUSE: 2020: 2059-1

sexta-feira, 27 de novembro de 2020

Atualização moderada de segurança do openSUSE para o wpa_supplicant, aviso openSUSE: 2020: 2059-1

 

Confira !!


 segurança do openSUSE: atualização de segurança para wpa_supplicant

______________________________________________________________________________


ID do anúncio: openSUSE-SU-2020: 2059-1

Avaliação: moderada

Referências: # 1131644 # 1131868 # 1131870 # 1131871 # 1131872 

                    # 1131874 # 1133640 # 1144443 # 1150934 # 1156920 

                    # 1166933 # 1167331 # 930077 # 930078 # 930079 

                    

Referências cruzadas: CVE-2015-4141 CVE-2015-4142 CVE-2015-4143

                    CVE-2015-8041 CVE-2017-13077 CVE-2017-13078

                    CVE-2017-13079 CVE-2017-13080 CVE-2017-13081

                    CVE-2017-13082 CVE-2017-13086 CVE-2017-13087

                    CVE-2017-13088 CVE-2018-14526 CVE-2019-11555

                    CVE-2019-13377 CVE-2019-16275 CVE-2019-9494

                    CVE-2019-9495 CVE-2019-9497 CVE-2019-9498

                    CVE-2019-9499

Produtos afetados:

                    openSUSE Leap 15.2

______________________________________________________________________________


   Uma atualização que corrige 22 vulnerabilidades já está disponível.


Descrição:


   Esta atualização para wpa_supplicant corrige os seguintes problemas:


   Problema de segurança corrigido:


   - CVE-2019-16275: Corrigido um desvio de proteção de desconexão PMF no modo AP

     (bsc # 1150934).


   Problemas de não segurança corrigidos:


   - Habilite o suporte SAE (jsc # SLE-14992).

   - Limita o nome P2P_DEVICE ao tamanho apropriado do ifname.

   - Consertar wlan perverso (bsc # 1156920)

   - Restaurar fi.epitest.hostap.WPASupplicant.service (bsc # 1167331)

   - Com v2.9 fi.epitest.hostap.WPASupplicant.service é obsoleto

     (bsc # 1167331)

   - Corrigir a configuração WLAN na inicialização com o wicked. (bsc # 1166933)

   - Atualização para a versão 2.9:

      * Mudanças SAE

        - desabilitar o uso de grupos usando curvas Brainpool

        - proteção aprimorada contra ataques de canal lateral

   [https://w1.fi/security/2019-6/]

      * Alterações EAP-pwd

        - desabilitar o uso de grupos usando curvas Brainpool

        - permite que o conjunto de grupos seja configurado (eap_pwd_groups)

        - proteção aprimorada contra ataques de canal lateral

   [https://w1.fi/security/2019-6/]

      * fixa associação de domínio de mobilidade inicial FT-EAP usando cache PMKSA

        (desativado por padrão para compatibilidade com versões anteriores; pode ser ativado com

        ft_eap_pmksa_caching = 1)

      * corrigiu uma regressão no carregamento do motor OpenSSL 1.1+

      * validação adicionada de RSNE em quadros de resposta de (re) associação

      * corrigido o analisador de URI de bootstrap de DPP da lista de canais

      * Reautenticação rápida EAP-SIM / AKA estendida para permitir o uso com FILS

      * estendido ca_cert_blob para oferecer suporte ao formato PEM

      * robustez aprimorada de agendamento de frame de ação P2P

      * adicionado suporte para EAP-SIM / AKA usando identidade anonymous @ realm

      * Seleção fixa de credenciais de Hotspot 2.0 com base em consórcio de roaming para

        ignorar credenciais sem um método EAP específico

      * adicionado suporte experimental para EAP-TEAP peer (RFC 7170)

      * adicionado suporte experimental para par EAP-TLS com TLS v1.3

      * corrigido uma regressão na configuração do parâmetro WMM para um par TDLS

      * corrigiu uma regressão em operação com drivers que descarregam 802.1X

        Handshake de 4 vias

      * consertou um caso de canto de operação ECDH com OpenSSL

      * Mudanças SAE

        - adicionado suporte para SAE Password Identifier

        - configuração padrão alterada para permitir apenas os grupos 19, 20, 21

   (ou seja, desative os grupos 25 e 26) e desative todos os grupos inadequados

   completamente baseado em mudanças REVmd

        - não regenere o PWE desnecessariamente quando o AP usa o

   mecanismos de token anti-entupimento

        - corrigiu alguns casos de associação em que SAE e FT-SAE estavam habilitados

          na estação e no AP selecionado

        - passou a preferir FT-SAE em vez de SAE AKM se ambos estiverem habilitados

        - passou a preferir FT-SAE em vez de FT-PSK se ambos estiverem habilitados

        - FT-SAE corrigido quando o cache SAE PMKSA é usado

        - rejeitar o uso de grupos inadequados com base na nova implementação

   orientação em REVmd (permitir apenas grupos FFC com prime> = 3072 bits e ECC

   grupos com primos> = 256)

        - minimizar as diferenças de tempo e uso de memória na derivação PWE

   [https://w1.fi/security/2019-1/] (CVE-2019-9494, bsc # 1131868)

      * Alterações EAP-pwd

        - minimizar as diferenças de tempo e uso de memória na derivação PWE

   [https://w1.fi/security/2019-2/] (CVE-2019-9495, bsc # 1131870)

        - verificar escalar / elemento do servidor [https://w1.fi/security/2019-4/]

   (CVE-2019-9497, CVE-2019-9498, CVE-2019-9499, bsc # 1131874, bsc # 1131872,

   bsc # 1131871, bsc # 1131644)

        - corrigir problema de remontagem de mensagem com fragmento inesperado

   [https://w1.fi/security/2019-5/] (CVE-2019-11555, bsc # 1133640)

        - aplicar rand, regras de geração de máscara mais estritamente

        - consertar um vazamento de memória na derivação PWE

        - proibir grupos ECC com um primo abaixo de 256 bits (grupos 25, 26 e

   27)

        - Atualização de ataque de canal lateral SAE / EAP-pwd

   [https://w1.fi/security/2019-6/] (CVE-2019-13377, bsc # 1144443)

      * corrigido CONFIG_IEEE80211R = y (FT) build sem CONFIG_FILS = y

      * Alterações do Hotspot 2.0

        - não indique o número de liberação que é maior do que um AP

   apoia

        - adicionado suporte para a versão número 3

        - habilitar PMF automaticamente para perfis de rede criados a partir de

   credenciais

      * salvamento de perfil de rede OWE fixo

      * salvamento de perfil de rede DPP fixo

      * adicionado suporte para validação de canal operacional RSN (CONFIG_OCV = y e

        parâmetro de perfil de rede ocv = 1)

      * adicionado suporte STA de backhaul Multi-AP

      * compilação corrigida com LibreSSL

      * número de correções e extensões MKA / MACsec

      * estendido domain_match e domain_suffix_match para permitir a lista de valores

      * foi corrigida a correspondência de dNSName em domain_match e domain_suffix_match quando

        usando wolfSSL

      * começou a preferir FT-EAP-SHA384 em vez de WPA-EAP-SUITE-B-192 AKM se ambos

        estão habilitados

      * Conexão estendida nl80211 e autenticação externa para suportar SAE,

        FT-SAE, FT-EAP-SHA384

      * derivação KEK2 fixa para FILS + FT

      * arquivo client_cert estendido para permitir o carregamento de uma cadeia de codificados PEM

        certificados

      * funcionalidade de relatório de farol estendido

      * Interface D-Bus estendida com número de novas propriedades

      * corrigido uma regressão no FT-over-DS com drivers baseados em mac80211

      * OpenSSL: permite que as políticas de todo o sistema sejam substituídas

      * Indicação de sinalizadores de driver estendidos para 802.1X e PSK de 4 vias separados

        capacidade de transferência de handshake

      * adicionado suporte para uso aleatório de dispositivo P2P / endereço de interface

      * PEAP estendido para derivar EMSK para permitir o uso com ERP / FILS

      * WPS estendido para permitir que a configuração SAE seja adicionada automaticamente para

        PSK (wps_cred_add_sae = 1)

      * suporte removido para a interface D-Bus antiga (CONFIG_CTRL_IFACE_DBUS)

      * estendido domain_match e domain_suffix_match para permitir a lista de valores

      * adicionou uma solução alternativa RSN para APs PMF com comportamento inadequado que anunciam

        IGTK / BIP KeyID usando ordem de bytes incorreta

      * corrigido PTK rekeying com FILS e FT

      * reutilização de número de pacote WPA fixo com mensagens repetidas e chave

        reinstalação [https://w1.fi/security/2017-1/] (CVE-2017-13077,

        CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081,

        CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088)

      * foi corrigida a descriptografia de chave EAPOL não autenticada em wpa_supplicant

        [https://w1.fi/security/2018-1/] (CVE-2018-14526)

      * adicionado suporte para autenticação de chave compartilhada FILS (IEEE 802.11ai)

      * adicionado suporte para OWE (Opportunistic Wireless Encryption, RFC 8110;

        e modo de transição definido por WFA)

      * adicionado suporte para DPP (protocolo de provisionamento de dispositivo Wi-Fi)

      * adicionado suporte para caso chave RSA 3k com nível Suite B de 192 bits

      * consertou o cache do Suite B PMKSA para não atualizar o PMKID durante cada 4 vias

        aperto de mão

      * pré-processamento EAP-pwd corrigido com PasswordHashHash

      * adicionado suporte ao cliente EAP-pwd para senhas salgadas

      * corrigiu uma regressão na validação de bits proibidos TDLS

      * começou a usar a taxa de transferência estimada para evitar sinais indesejados

        decisão de roaming baseada na força

      * MACsec / MKA:

        - novo suporte de interface de driver macsec_linux para o kernel Linux

   módulo macsec

        - número de correções e extensões

      * adicionado suporte para armazenamento externo persistente de cache PMKSA

        (Comandos de interface de controle PMKSA_GET / PMKSA_ADD; e

        MESH_PMKSA_GET / MESH_PMKSA_SET para a caixa de malha)

      * configuração de canal de malha fixa caso de switch pri / s

      * adicionado suporte para relatório de beacon

      * grande número de outras correções, limpeza e extensões

      * adicionado suporte para randomização de endereço local para consultas GAS

        (parâmetro gas_rand_mac_addr)

      * corrigiu os casos de autenticação ext EAP-SIM / AKA / AKA 'dentro do túnel TLS

      * opção adicionada para usar UUID WPS aleatório (auto_uuid = 1)

      * adicionado suporte SHA256-hash para correspondência de certificado OCSP

      * corrigido EAP-AKA 'para adicionar AT_KDF na falha de sincronização

      * corrigiu uma regressão na seleção de candidatos de pré-autenticação RSN

      * opção adicionada para configurar conjuntos de criptografia de gerenciamento de grupo permitidos

        (parâmetro de perfil de rede group_mgmt)

      * removeu todas as funcionalidades PeerKey

      * corrigido nl80211 AP e regressão de configuração de modo de malha com Linux

        4.15 e mais recentes

      * Adicionada opção de configuração ap_isolate para o modo AP

      * adicionado suporte para nl80211 para descarregar handshake de 4 vias no driver

      * adicionado suporte para usar a biblioteca criptográfica wolfSSL

      * SAE

        - adicionado suporte para configuração de senha SAE separadamente do WPA2

   PSK / senha

        - correção da integridade da chave PTK e EAPOL e seleção do algoritmo de quebra de chave

   para SAE; nota: isto não é compatível com versões anteriores, ou seja, tanto o AP quanto

   as implementações do lado da estação precisarão ser atualizadas ao mesmo tempo para

   manter a interoperabilidade

        - adicionado suporte para identificador de senha

        - correspondência FT-SAE PMKID corrigida

      * Hotspot 2.0

        - adicionado suporte para busca de elemento ANQP de metadados do ícone do operador

        - adicionado suporte para elemento Roaming Consortium Selection

        - adicionado suporte para Termos e Condições

        - adicionado suporte para conexão OSEN em um RSN BSS compartilhado

        - adicionado suporte para buscar informações de URL do local

      * adicionado suporte para usar OpenSSL 1.1.1

      * FT

        - desabilitou o cache PMKSA com FT, pois não é totalmente funcional

        - adicionado suporte para AKM baseado em SHA384

        - adicionado suporte para cifras BIP BIP-CMAC-256, BIP-GMAC-128,

   BIP-GMAC-256, além do BIP-CMAC-128 anteriormente suportado

        - corrigida a inclusão adicional do IE no quadro de solicitação de reassociação quando

   usando protocolo FT


   - Arquivos de serviço alterados para iniciar após a rede (systemd-networkd).


   Esta atualização foi importada do SUSE: SLE-15: Projeto de atualização de atualização.



Instruções do patch:


   Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE

   como YaST online_update ou "patch zypper".


   Como alternativa, você pode executar o comando listado para o seu produto:


   - openSUSE Leap 15.2:


      zypper em patch -t openSUSE-2020-2059 = 1




Lista de Pacotes:


   - openSUSE Leap 15.2 (i586 x86_64):


      wpa_supplicant-2.9-lp152.8.3.1

      wpa_supplicant-debuginfo-2.9-lp152.8.3.1

      wpa_supplicant-debugsource-2.9-lp152.8.3.1

      wpa_supplicant-gui-2.9-lp152.8.3.1

      wpa_supplicant-gui-debuginfo-2.9-lp152.8.3.1



Referências:


   https://www.suse.com/security/cve/CVE-2015-4141.html

   https://www.suse.com/security/cve/CVE-2015-4142.html

   https://www.suse.com/security/cve/CVE-2015-4143.html

   https://www.suse.com/security/cve/CVE-2015-8041.html

   https://www.suse.com/security/cve/CVE-2017-13077.html

   https://www.suse.com/security/cve/CVE-2017-13078.html

   https://www.suse.com/security/cve/CVE-2017-13079.html

   https://www.suse.com/security/cve/CVE-2017-13080.html

   https://www.suse.com/security/cve/CVE-2017-13081.html

   https://www.suse.com/security/cve/CVE-2017-13082.html

   https://www.suse.com/security/cve/CVE-2017-13086.html

   https://www.suse.com/security/cve/CVE-2017-13087.html

   https://www.suse.com/security/cve/CVE-2017-13088.html

   https://www.suse.com/security/cve/CVE-2018-14526.html

   https://www.suse.com/security/cve/CVE-2019-11555.html

   https://www.suse.com/security/cve/CVE-2019-13377.html

   https://www.suse.com/security/cve/CVE-2019-16275.html

   https://www.suse.com/security/cve/CVE-2019-9494.html

   https://www.suse.com/security/cve/CVE-2019-9495.html

   https://www.suse.com/security/cve/CVE-2019-9497.html

   https://www.suse.com/security/cve/CVE-2019-9498.html

   https://www.suse.com/security/cve/CVE-2019-9499.html

   https://bugzilla.suse.com/1131644

   https://bugzilla.suse.com/1131868

   https://bugzilla.suse.com/1131870

   https://bugzilla.suse.com/1131871

   https://bugzilla.suse.com/1131872

   https://bugzilla.suse.com/1131874

   https://bugzilla.suse.com/1133640

   https://bugzilla.suse.com/1144443

   https://bugzilla.suse.com/1150934

   https://bugzilla.suse.com/1156920

   https://bugzilla.suse.com/1166933

   https://bugzilla.suse.com/1167331

   https://bugzilla.suse.com/930077

   https://bugzilla.suse.com/930078

   https://bugzilla.suse.com/930079

_______________________________________________

Lista de discussão de anúncios de segurança do openSUSE - security-announce@lists.opensuse.org 

Para cancelar, envie um email para security-announce-leave@lists.opensuse.org

Listar netiqueta: https://en.opensuse.org/openSUSE:Mailing_list_netiquette

Arquivos da lista: https://lists.opensuse.org/archives/list/ security-announce@lists.opensuse.org 


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário