SUSE SLED15 / SLES15セキュリティ更新プログラム:wpa_supplicant(SUSE-SU-2020:3380-1)(KRACK)
high Nessus プラグイン ID 143627
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
このwpa_supplicant用更新プログラムでは、以下の問題を修正します。以下のセキュリティ問題を修正しました。- :修正されたセキュリティ問題:
CVE-2019-16275:APモードPMF切断保護バイパスを修正しました(bsc#1150934)。
セキュリティ以外の修正された問題:
SAEサポートを有効にします(jsc#SLE-14992)。
P2P_DEVICE名を適切なifnameサイズに制限します。
wicked wlanを修正します(bsc#1156920)
fi.epitest.hostap.WPASupplicant.serviceを復元します(bsc#1167331)
v2.9では、fi.epitest.hostap.WPASupplicant.serviceが廃止されます(bsc#1167331)
wickedによる起動時のWLAN構成を修正します。(bsc#1166933)
リリース2.9への更新:
- SAEの変更
- Brainpool曲線を使用したグループの使用を無効にします
- サイドチャネル攻撃に対する保護を改善しました
[https://w1.fi/security/2019-6/]
- EAP-pwdの変更
- Brainpool曲線を使用したグループの使用を無効にします
- グループのセットを構成できるようにします(eap_pwd_groups)
- サイドチャネル攻撃に対する保護を改善しました
[https://w1.fi/security/2019-6/]
- PMKSAキャッシングを使用したFT-EAP初期モビリティドメイン関連付けを修正しました(後方互換性のため、デフォルトでは無効になっています。ft_eap_pmksa_caching=1を使用して有効にできます)
- OpenSSL 1.1+エンジンロードにおける回帰を修正しました
- (Re)Association ResponseフレームのRSNEの検証を追加しました
- チャネルリストのDPPブートストラップURIパーサーを修正しました
- 拡張EAP-SIM/AKA高速再認証により、FILSとの使用が可能になります
- PEM形式をサポートするためにca_cert_blobを拡張しました
- P2P Actionフレームスケジューリングの堅牢性が改善されました
- anonymous@realm IDを使用するEAP-SIM/AKAのサポートを追加しました
- roaming consortiumに基づくホットスポット2.0認証情報の選択を修正し、特定のEAPメソッドなしで認証情報を無視するようにしました
- EAP-TEAPピアの実験的サポートを追加しました(RFC 7170)
- TLS v1.3が実装されたEAP-TLSピアの実験的サポートを追加しました
- TDLSピアのWMMパラメーター構成での回帰を修正しました
- 802.1X 4ウェイハンドシェイクをオフロードするドライバーでの操作における回帰を修正しました
- OpenSSLを使用したECDH操作のコーナーケースを修正しました
- SAEの変更
- SAEパスワード識別子のサポートを追加しました
- グループ19、20、21のみを有効に
(つまり、グループ25と26を無効に)し、REVmdの変更に基づいて不適切なグループをすべて
完全に無効にするようにデフォルトの構成を変更しました
- APが閉塞対策トークンメカニズムを使用している場合は、
不必要にPWEを再生成しません
- SAEとFT-SAEの両方がステーションと選択されたAPの両方で有効になる一部の関連付けケースを修正しました
- どちらも有効になっている場合は、SAE AKMよりもFT-SAEを優先するようになりました
- どちらも有効になっている場合は、FT-PSKよりもFT-SAEを優先するようになりました
- SAE PMKSAキャッシングが使用されている場合のFT-SAEを修正しました
- REVmdの新しい実装ガイダンスに基づいて不適切なグループの使用を却下します
(prime >= 3072ビットのFFCグループとprime >= 256のECC
グループのみを許可します)
- PWE派生でのタイミングとメモリの使用の差を最小にします
(https://w1.fi/security/2019-1/)(CVE-2019-9494、bsc#1131868)
- EAP-pwdの変更
- PWE派生でのタイミングとメモリの使用の差を最小にします
(https://w1.fi/security/2019-2/)(CVE-2019-9495、bsc#1131870)
- サーバースカラー/要素を検証します[https://w1.fi/security/2019-4/]
(CVE-2019-9497、 CVE-2019-9498、 CVE-2019-9499、 bsc#1131874、 bsc#1131872、
bsc#1131871、bsc#1131644)
- 予期せぬフラグメントに伴うメッセージ再アセンブリの問題を修正します
(https://w1.fi/security/2019-5/)(CVE-2019-11555、bsc#1133640)
- rand,mask生成ルールをより厳格に適用します
- PWE派生内のメモリリークを修正します
- primeが256ビット未満のECCグループを許可しません(グループ25、26、および
27)
- SAE/EAP-pwdサイドチャネル攻撃の更新
(https://w1.fi/security/2019-6/)(CVE-2019-13377、bsc#1144443)
- CONFIG_FILS=yを使用せずにCONFIG_IEEE80211R=y(FT)ビルドを修正しました
- 2.0の変更箇所にハイバーリンクを設定します
- 1つのAPがサポートするリリース番号より大きいリリース番号を
表示しません
- リリース番号3のサポートを追加しました
- 認証情報から作成されたネットワークプロファイルに対してPMFを自動的に
有効にします
- OWEネットワークプロファイルの保存を修正しました
- DPPネットワークプロファイルの保存を修正しました
- RSN操作チャネル検証のサポートを追加しました(CONFIG_OCV=yとネットワークプロファイルパラメーターocv=1)
- マルチAPバックホールSTAのサポートを追加しました
- LibreSSLを使用したビルドを修正しました
- 多数のMKA/MACsecの修正と拡張
- domain_matchとdomain_suffix_matchを拡張し、値のリストを許可するようにしました
- wolfSSLの使用時のdomain_matchとdomain_suffix_match内のdNSName照合を修正しました
- どちらも有効になっている場合は、WPA-EAP-SUITE-B-192AKMよりもFT-EAP-SHA384を優先するようになりました
- nl80211 Connectと外部認証を拡張し、SAE、FT-SAE、FT-EAP-SHA384をサポートするようにしました
- FILS+FTのKEK2派生を修正しました
- client_certファイルを拡張し、PEMエンコードされた証明書のチェーンをロードできるようにしました
- ビーコンレポート機能を拡張しました
- 多数の新しいプロパティでD-Busインターフェイスを拡張しました
- mac80211ベースのドライバーによるFT-over-DS内の回帰を修正しました
- OpenSSL:システム全体のポリシーのオーバーライドを許可します
- 別の802.1XとPSKの4ウェイハンドシェイクオフロード機能のためにドライバーフラグ表示を拡張しました
- ランダムなP2Pデバイス/インターフェイスアドレスの使用のサポートを追加しました
- PEAPを拡張してEMSKを派生させ、ERP/FILSで使用できるようにしました
- WPSを拡張し、PSE用のSAE構成を自動的に追加できるようにしました(wps_cred_add_sae = 1)
- 古いD-Busインターフェイスのサポートを削除しました(CONFIG_CTRL_IFACE_DBUS)
- domain_matchとdomain_suffix_matchを拡張し、値のリストを許可するようにしました
- 不正なバイト順序を使用してIGTK/BIP KeyIDをアドバタイズするPMF APの誤動作に対するRSN回避策を追加しました
- FILSとFTを使用したPTKキー更新を修正しました
- リプレイされたメッセージとキーの再インストールによるWPAパケット番号の再利用を修正しました[https://w1.fi/security/2017-1/](CVE-2017-13077、CVE-2017-13078、CVE-2017-13079、CVE-2017-13080、CVE-2017-13081、CVE-2017-13082、CVE-2017-13086、CVE-2017-13087、CVE-2017-13088)
- wpa_supplicantにおける認証されていないEAPOL-Keyの復号[https://w1.fi/security/2018-1/](CVE-2018-14526)
- FILS(IEEE 802.11ai)共有キー認証のサポートを追加しました
- OWE(Opportunistic Wireless Encryption、RFC 8110、およびWFAで定義された移行モード)のサポートを追加しました
- DPP(Wi-Fiデバイスプロビジョニングプロトコル)のサポートを追加しました
- Suite B 192ビットレベルのRSA 3kキーケースのサポートを追加しました
- 各4ウェイハンドシェイクの間にPMKIDが更新されないように、Suite B PMKSAキャッシングを修正しました
- PasswordHashHashによるEAP-pwdの前処理を修正しました
- ソルト付きパスワードに対するEAP-pwdクライアントサポートを追加しました
- TDLS禁止ビット検証の回帰を修正しました
- 望ましくないシグナルの強度に基づくローミング決定を回避するために、推定スループットの使用を開始しました
- MACsec/MKA:
- Linuxカーネルのmacsecモジュールに対する新しいmacsec_linuxドライバーインターフェイスの
サポート
- 多数の修正と拡張
- PMKSAキャッシュの外部永続的ストレージのサポートを追加しました(PMKSA_GET/PMKSA_ADDコントロールインターフェイスコマンド、
メッシュケースのMESH_PMKSA_GET/MESH_PMKSA_SET)
- メッシュチャネル構成のpri/secスイッチケースを修正しました
- ビーコンレポートのサポートを追加しました
- 多数のその他の修正、クリーンアップ、拡張
- GASクエリのローカルアドレスのランダム化のサポートを追加しました(gas_rand_mac_addrパラメーター)
- TLSトンネル内のEAP-SIM/AKA/AKA' ext authケースを修正しました
- ランダムWPS UUIDを使用するためのオプションを追加しました(auto_uuid=1)
- OCSP証明書照合のSHA256ハッシュサポートを追加しました
- AT_KDFを同期失敗に追加するようにEAP-AKA'を修正しました
- RSN事前認証候補の選択における回帰を修正しました
- 許可されたグループ管理暗号パッケージを構成するオプションを追加しました(group_mgmtネットワークプロファイルパラメーター)
- すべてのPeerKey機能を削除しました
- Linux 4.15以降でのnl80211 APおよびメッシュモード構成の回帰を修正しました
- APモードのap_isolate構成オプションを追加しました
- 4ウェイハンドシェイクをドライバーにオフロードするためにnl80211のサポートを追加しました
- wolfSSL暗号ライブラリの使用のサポートを追加しました
- SAE
- WPA2 PSK/パスフレーズのSAEパスワードの個別構成のサポートを
追加しました
- SAE用のPTKとEAPOL-Keyの整合性とキーラップアルゴリズムの選択を修正しました。
注:これには下位互換性がありません。つまり、
相互運用性を維持するためには、AP側の実装とステーション側の実装の両方を同時に
更新する必要があります
- パスワード識別子のサポートを追加しました
- FT-SAE PMKID照合を修正しました
- Hotspot 2.0
- オペレーターアイコンのメタデータANQP要素のフェッチのサポートを追加しました
- Roaming Consortium Selection要素のサポートを追加しました
- 契約条件のサポートを追加しました
- 共有RSN BSSでのOSEN接続のサポートを追加しました
- Venue URL情報のフェッチのサポートを追加しました
- OpenSSL 1.1.1の使用のサポートを追加しました
- FT
- 完全に機能していないため、FTでPMKSAキャッシングを無効にしました
- SHA384ベースのAKMのサポートを追加しました
- 以前サポートされていたBIP-CMAC-128に加えて、BIP暗号BIP-CMAC-256、
BIP-GMAC-128、BIP-GMAC-256のサポートを追加しました
- FTプロトコル使用時の再関連付けリクエストフレーム内の追加IEインクルードを
修正しました
ネットワークの後に起動するようにサービスファイルを変更しました(systemd-networkd)。
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。
ソリューション
このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE Linux Enterprise Server for SAP 15:
zypper in -t patch SUSE-SLE-Product-SLES_SAP-15-2020-3380=1
SUSE Linux Enterprise Server 15-LTSS:
zypper in -t patch SUSE-SLE-Product-SLES-15-2020-3380=1
SUSE Linux Enterprise Module for Basesystem 15-SP2:
zypper in -t patch SUSE-SLE-Module-Basesystem-15-SP2-2020-3380=1
SUSE Linux Enterprise Module for Basesystem 15-SP1:
zypper in -t patch SUSE-SLE-Module-Basesystem-15-SP1-2020-3380=1
SUSE Linux Enterprise High Performance Computing 15-LTSS:
zypper in -t patch SUSE-SLE-Product-HPC-15-2020-3380=1
SUSE Linux Enterprise High Performance Computing 15-ESPOS:
zypper in -t patch SUSE-SLE-Product-HPC-15-2020-3380=1
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=1167331
https://bugzilla.suse.com/show_bug.cgi?id=930077
https://bugzilla.suse.com/show_bug.cgi?id=930078
https://bugzilla.suse.com/show_bug.cgi?id=930079
https://w1.fi/security/2017-1/]
https://w1.fi/security/2018-1/]
https://w1.fi/security/2019-1/]
https://w1.fi/security/2019-2/]
https://w1.fi/security/2019-4/]
https://w1.fi/security/2019-5/]
https://w1.fi/security/2019-6/]
https://www.suse.com/security/cve/CVE-2015-4141/
https://www.suse.com/security/cve/CVE-2015-4142/
https://www.suse.com/security/cve/CVE-2015-4143/
https://www.suse.com/security/cve/CVE-2015-8041/
https://www.suse.com/security/cve/CVE-2017-13077/
https://www.suse.com/security/cve/CVE-2017-13078/
https://www.suse.com/security/cve/CVE-2017-13079/
https://www.suse.com/security/cve/CVE-2017-13080/
https://www.suse.com/security/cve/CVE-2017-13081/
https://www.suse.com/security/cve/CVE-2017-13082/
https://www.suse.com/security/cve/CVE-2017-13086/
https://www.suse.com/security/cve/CVE-2017-13087/
https://www.suse.com/security/cve/CVE-2017-13088/
https://www.suse.com/security/cve/CVE-2018-14526/
https://www.suse.com/security/cve/CVE-2019-11555/
https://www.suse.com/security/cve/CVE-2019-13377/
https://www.suse.com/security/cve/CVE-2019-16275/
https://www.suse.com/security/cve/CVE-2019-9494/
https://www.suse.com/security/cve/CVE-2019-9495/
https://www.suse.com/security/cve/CVE-2019-9497/
https://www.suse.com/security/cve/CVE-2019-9498/
https://www.suse.com/security/cve/CVE-2019-9499/
http://www.nessus.org/u?dbb2c120
https://bugzilla.suse.com/show_bug.cgi?id=1131644
https://bugzilla.suse.com/show_bug.cgi?id=1131868
https://bugzilla.suse.com/show_bug.cgi?id=1131870
https://bugzilla.suse.com/show_bug.cgi?id=1131871
https://bugzilla.suse.com/show_bug.cgi?id=1131872
https://bugzilla.suse.com/show_bug.cgi?id=1131874
https://bugzilla.suse.com/show_bug.cgi?id=1133640
https://bugzilla.suse.com/show_bug.cgi?id=1166933
https://bugzilla.suse.com/show_bug.cgi?id=1144443
プラグインの詳細
深刻度: High
ID: 143627
ファイル名: suse_SU-2020-3380-1.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2020/12/9
更新日: 2024/2/6
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2019-9499
CVSS v3
リスクファクター: High
基本値: 8.1
現状値: 7.3
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:wpa_supplicant, p-cpe:/a:novell:suse_linux:wpa_supplicant-debuginfo, p-cpe:/a:novell:suse_linux:wpa_supplicant-debugsource, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2020/11/19
脆弱性公開日: 2015/6/15
参照情報
CVE: CVE-2015-4141, CVE-2015-4142, CVE-2015-4143, CVE-2015-8041, CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088, CVE-2018-14526, CVE-2019-11555, CVE-2019-13377, CVE-2019-16275, CVE-2019-9494, CVE-2019-9495, CVE-2019-9497, CVE-2019-9498, CVE-2019-9499
BID: 74549