検出

openSUSEセキュリティ更新プログラム:hostapd(openSUSE-2020-222)(KRACK)

high Nessus プラグイン ID 133758

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このhostapdの更新では、次の問題を修正します:

hostapdがバージョン2.9に更新しました :

 - SAEの変更

 - Brainpool曲線を使用したグループの使用を無効にします

 - サイドチャネル攻撃に対する保護を改善しました(https://w1.fi/security/2019-6/)

 - EAP-pwdの変更

 - Brainpool曲線を使用したグループの使用を無効にします

 - サイドチャネル攻撃に対する保護を改善しました(https://w1.fi/security/2019-6/)

 - PMKSAキャッシングを使用したFT-EAP初期モビリティドメイン関連付けを修正しました

 - 通信時間ポリシーの構成を追加しました

 - (Re)Association ResponseフレームへのFILSとRSNEを修正しました

 - チャネルリストのDPPブートストラッピングURIパーサーを修正しました

 - 規制上のWMM制限のサポートを追加しました(ETSI用)

 - IEEE 802.1X/PSKを使用したMACsec Key Agreementのサポートを追加しました

 - EAP-TEAPサーバーの実験的サポートを追加しました(RFC 7170)

 - TLS v1.3が実装されたEAP-TLSサーバーの実験的サポートを追加しました

 - 2つのサーバー証明書/キーのサポートを追加しました(RSA / ECC)

 - AKMが関連付けに使用されたかどうかを判断するために、AKMSuiteSelectorを「STA <addr>」コントロールインターフェイスデータに追加しました

 - EAP-SIM/AKAサーバーの偽名と高速再認証の使用を無効にできるように、eap_sim_idパラメーターを追加しました

 - OpenSSLを使用したECDH操作のコーナーケースを修正しました

バージョン2.8への更新

 - SAEの変更

 - SAEパスワード識別子のサポートを追加しました

 - グループ19のみを有効に(つまり、デフォルト構成からグループ20、21、25、26を無効に)し、REVmdの変更に基づいて不適切なグループをすべて完全に無効にするようにデフォルトの構成を変更しました

 - CPUが高負荷の場合の、閉塞対策トークンメカニズムとSAE認証フレーム処理を改善しました。
 これにより、APを大量のSAEメッセージでフラッディングしようとする潜在的なDoS攻撃に伴う問題が緩和されます

 - ステータスコード77の応答にFinite Cyclic Groupフィールドを追加しました

 - REVmdの新しい実装ガイダンスに基づいて不適切なグループの使用を拒否します(prime >= 3072ビットのFFCグループとprime >= 256のECCグループのみを許可します)

 - PWE派生でのタイミングとメモリの使用の差を最小にします(https://w1.fi/security/2019-1/)(CVE-2019-9494)

 - エラー発生時の確認メッセージの検証を修正しました(https://w1.fi/security/2019-3/)(CVE-2019-9496)

 - EAP-pwdの変更

 - PWE派生でのタイミングとメモリの使用の差を最小にします(https://w1.fi/security/2019-2/)(CVE-2019-9495)

 - ピアスカラー/要素を検証します(https://w1.fi/security/2019-4/)(CVE-2019-9497とCVE-2019-9498)

 - 予期せぬフラグメントに伴うメッセージ再アセンブリの問題を修正します(https://w1.fi/security/2019-5/)

 - rand,mask生成ルールをより厳格に適用します

 - PWE派生内のメモリリークを修正します

 - primeが256ビット未満のECCグループ(グループ25、26、および27)を許可しません

 - Hotspot 2.0の変更

 - リリース番号3のサポートを追加しました

 - PMFを使用しないリリース2以降の関連付けを拒否します

 - RSN操作チャネル検証のサポートを追加しました(CONFIG_OCV=yと構成パラメーターocv=1)

 - マルチAPプロトコルのサポートを追加しました

 - FTMレスポンダーの構成を追加しました

 - LibreSSLを使用したビルドを修正しました

 - 短いイーサネットフレームパディングに対するFT/RRB回避策を追加しました

 - FILS+FTのKEK2派生を修正しました

 - OCEからのRSSIベースの関連付け拒否を追加しました

 - ビーコンレポート機能を拡張しました

 - VLANの変更

 - リモートRADIUS認証を使用したローカルVLAN管理を許可します

 - WPA/WPA2パスフレーズ/PSKベースのVLAN割り当てを追加します

 - OpenSSL:システム全体のポリシーのオーバーライドを許可します

 - PEAPを拡張してEMSKを派生させ、ERP/FILSで使用できるようにしました

 - WPSを拡張し、PSE用のSAE構成を自動的に追加できるようにしました(wps_cred_add_sae = 1)

 - AP-MLME-in-driverケースを使用してFTフレームとSA Query Actionフレームを修正しました

 - OWE:DPPプロトコル拡張の準備として、DPPにディフィー・ヘルマンパラメーター要素を含めることを許可します

 - RADIUS server:EAPデータベースエントリを照合することなく、ERP keyName-NAIをユーザーIDとして自動的に受け入れるようになりました

 - FILSとFTを使用したPTKキー更新を修正しました

wpa_supplicant:

 - SAEの変更

 - SAEパスワード識別子のサポートを追加しました

 - グループ19、20、21のみを有効に(つまり、グループ25と26を無効に)し、REVmdの変更に基づいて不適切なグループをすべて完全に無効にするようにデフォルトの構成を変更しました

 - APが閉塞対策トークンメカニズムを使用している場合は、不必要にPWEを再生成しません

 - SAEとFT-SAEの両方がステーションと選択されたAPの両方で有効になる一部の関連付けケースを修正しました

 - どちらも有効になっている場合は、SAE AKMよりもFT-SAEを優先するようになりました

 - どちらも有効になっている場合は、FT-PSKよりもFT-SAEを優先するようになりました

 - SAE PMKSAキャッシングが使用されている場合のFT-SAEを修正しました

 - REVmdの新しい実装ガイダンスに基づいて不適切なグループの使用を却下します(prime >= 3072ビットのFFCグループとprime >= 256のECCグループのみを許可します)

 - PWE派生でのタイミングとメモリの使用の差を最小にします(https://w1.fi/security/2019-1/)(CVE-2019-9494)

 - EAP-pwdの変更

 - PWE派生でのタイミングとメモリの使用の差を最小にします(https://w1.fi/security/2019-2/)(CVE-2019-9495)

 - サーバースカラー/要素を検証します(https://w1.fi/security/2019-4/)(CVE-2019-9499)

 - 予期せぬフラグメントに伴うメッセージ再アセンブリの問題を修正します(https://w1.fi/security/2019-5/)

 - rand,mask生成ルールをより厳格に適用します

 - PWE派生内のメモリリークを修正します

 - primeが256ビット未満のECCグループ(グループ25、26、および27)を許可しません

 - CONFIG_FILS=yを使用せずにCONFIG_IEEE80211R=y(FT)ビルドを修正しました

 - 2.0の変更箇所にハイバーリンクを設定します

 - 1つのAPがサポートするリリース番号より大きいリリース番号を表示しません

 - リリース番号3のサポートを追加しました

 - 認証情報から作成されたネットワークプロファイルに対してPMFを自動的に有効にします

 - OWEネットワークプロファイルの保存を修正しました

 - DPPネットワークプロファイルの保存を修正しました

 - RSN操作チャネル検証のサポートを追加しました(CONFIG_OCV=yとネットワークプロファイルパラメーターocv=1)

 - マルチAPバックホールSTAのサポートを追加しました

 - LibreSSLを使用したビルドを修正しました

 - 多数のMKA/MACsecの修正と拡張

 - domain_matchとdomain_suffix_matchを拡張し、値のリストを許可するようにしました

 - wolfSSLの使用時のdomain_matchとdomain_suffix_match内のdNSName照合を修正しました

 - どちらも有効になっている場合は、WPA-EAP-SUITE-B-192AKMよりもFT-EAP-SHA384を優先するようになりました

 - nl80211 Connectと外部認証を拡張し、SAE、FT-SAE、FT-EAP-SHA384をサポートするようにしました

 - FILS+FTのKEK2派生を修正しました

 - client_certファイルを拡張し、PEMエンコードされた証明書のチェーンをロードできるようにしました

 - ビーコンレポート機能を拡張しました

 - 多数の新しいプロパティでD-Busインターフェイスを拡張しました

 - mac80211ベースのドライバーによるFT-over-DS内の回帰を修正しました

 - OpenSSL:システム全体のポリシーのオーバーライドを許可します

 - 別の802.1XとPSKの4ウェイハンドシェイクオフロード機能のためにドライバーフラグ表示を拡張しました

 - ランダムなP2Pデバイス/インターフェイスアドレスの使用のサポートを追加しました

 - PEAPを拡張してEMSKを派生させ、ERP/FILSで使用できるようにしました

 - WPSを拡張し、PSE用のSAE構成を自動的に追加できるようにしました(wps_cred_add_sae = 1)

 - 古いD-Busインターフェイスのサポートを削除しました(CONFIG_CTRL_IFACE_DBUS)

 - domain_matchとdomain_suffix_matchを拡張し、値のリストを許可するようにしました

 - 不正なバイト順序を使用してIGTK/BIP KeyIDをアドバタイズするPMF APの誤動作に対するRSN回避策を追加しました

 - FILSとFTを使用したPTKキー更新を修正しました

 - CLI編集と履歴サポートを有効にしました。

バージョン2.7への更新

 - リプレイされたメッセージとキーの再インストールによるWPAパケット番号の再利用を修正しました(http://w1.fi/security/2017-1/)(CVE-2017-13082)(boo#1056061)

 - FILS(IEEE 802.11ai)共有キー認証のサポートを追加しました

 - OWE(Opportunistic Wireless Encryption、RFC 8110、およびWFAで定義された移行モード)のサポートを追加しました

 - DPP(Wi-Fiデバイスプロビジョニングプロトコル)のサポートを追加しました

 - FT:

 - FT-PSK用のPMK-R0/PMK-R1のローカル生成を追加しました(ft_psk_generate_local=1)

 - AP間プロトコルをより簡単に拡張できるより洗練された設計に置き換えました。これにより、下位互換性が失われるため、FT機能を維持するためにESS内のすべてのAPを同時に更新する必要があります

 - ワイルドカードR0KH/R1KHのサポートを追加しました

 - r0_key_lifetime(分)パラメーターをft_r0_key_lifetime(秒)に置き換えました

 - FT-PSKに対するwpa_psk_fileの使用を修正しました

 - FT-SAE PMKID照合を修正しました

 - PMK-R0キャッシュとPMK-R1キャッシュに有効期限を追加しました

 - IEEE VLANサポートを追加しました(タグVLANを含む)

 - SHA384ベースのAKMのサポートを追加しました

 - SAE

 - SAEに伴ういくつかのPMKSAキャッシングケースを修正しました

 - WPA2 PSK/パスフレーズのSAEパスワードの個別構成のサポートを追加しました

 - SAE関連付けにMFPを必要とするオプションを追加しました(sae_require_pmf=1)

 - SAE用のPTKとEAPOL-Keyの整合性とキーラップアルゴリズムの選択を修正しました。注:これには下位互換性がありません。つまり、相互運用性を維持するためには、AP側の実装とステーション側の実装の両方を同時に更新する必要があります

 - パスワード識別子のサポートを追加しました

 - hostapd_cli:コマンドの履歴と完了のサポートを追加しました

 - ビーコンレポートのリクエストのサポートを追加しました

 - 多数のその他の修正、クリーンアップ、および拡張

 - EAPOL-Key再試行制限を構成するためのオプションを追加しました(wpa_group_update_countとwpa_pairwise_update_count)

 - すべてのPeerKey機能を削除しました

 - Linux 4.15以降のnl80211 APモード構成の回帰を修正しました

 - wolfSSL暗号ライブラリの使用のサポートを追加しました

 - 40 Mhzが許可されている場合でもBSSが20 Mhzに下げる可能性のある、20/40 Mhzの混在ケースを修正しました

 - Hotspot 2.0

 - Venue URL ANQP要素の設定のサポートを追加しました(venue_url)

 - Hotspot 2.0オペレーターアイコンのアドバタイズのサポートを追加しました

 - Roaming Consortium Selection要素のサポートを追加しました

 - 契約条件のサポートを追加しました

 - 共有RSN BSSでのOSEN接続のサポートを追加しました

 - OpenSSL 1.1.1の使用のサポートを追加しました

 - ソルト付きパスワードのEAP-pwdサーバーサポートを追加しました

ソリューション

影響を受けるhostapdパッケージを更新してください。

参考資料

http://w1.fi/security/2017-1/]

https://bugzilla.opensuse.org/show_bug.cgi?id=1056061

https://w1.fi/security/2019-1/]

https://w1.fi/security/2019-2/]

https://w1.fi/security/2019-3/]

https://w1.fi/security/2019-4/]

https://w1.fi/security/2019-5/]

https://w1.fi/security/2019-6/]

プラグインの詳細

深刻度: High

ID: 133758

ファイル名: openSUSE-2020-222.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/2/18

更新日: 2024/3/27

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-9499

CVSS v3

リスクファクター: High

基本値: 8.1

現状値: 7.3

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:hostapd, p-cpe:/a:novell:opensuse:hostapd-debuginfo, p-cpe:/a:novell:opensuse:hostapd-debugsource, cpe:/o:novell:opensuse:15.1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/2/15

脆弱性公開日: 2017/10/17

参照情報

CVE: CVE-2017-13082, CVE-2019-9494, CVE-2019-9495, CVE-2019-9496, CVE-2019-9497, CVE-2019-9498, CVE-2019-9499