FreeBSD：wpa_supplicant -- P2P SSID プロセス脆弱性（cb9d2fcd-eb47-11e4-b03e-002590263bf5）

medium Nessus プラグイン ID 83082

Language:

概要

リモート FreeBSD ホストには、セキュリティ関連の更新がありません。

説明

Jouni Malinen 氏は次のように報告しています。

wpa_supplicant が P2P ピアエントリの作成や更新をする管理フレームにより解析された SSID 情報を使用する方法で、脆弱性が見つかりました（例えば、Probe Response フレームまたは P2P Public Action フレームの番号）。
SSID フィールドの有効な長さの範囲は、0 から 32 オクテットです。しかし、それは、8 ビット長のフィールドおよび 255 オクテットの潜在的な最大長のペイロードを保持する要素内で送信されました。wpa_supplicant は、ピアデバイスから受信する SSID を使用する複数のコードパスのうちの 1 つのコードパス上で、ペイロード長を十分に確認しませんでした。

これにより、攻撃者からの任意のデータが 32 バイトの固定長のバッファーへコピーされる可能性があります（例えば、最大 223 バイトまでのオーバーフローが可能）。SSID バッファーは、ヒープから割り当てられる p2p_device 構造体の中です。オーバーフローにより、開放されるポインターを含む構造体の 2、3 の変数がオーバーライドされる可能性があります。さらに、150 バイトについては（アーキテクチャによって変わる厳密な長さ）、ヒープ割り当ての終端を超えて書き込まれます。

これは、破損した P2P ピアデバイス情報により、ヒープ内の破損状態、予期しないプログラムの動きを引き起こし、wpa_supplicant プロセスのクラッシュによるサービス拒否、GO ネゴシエーション間でのメモリコンテンツの漏洩、および、任意のコードの実行を引き起こす可能性があります。

脆弱なバージョン/構成

CONFIG_P2P ビルドオプションを含む wpa_supplicant v1.0-v2.4 が有効でした（これはデフォルトではコンパイルされません）。

P2P ピアデバイスの情報を作成または更新させる適切に構築された管理フレームを送信するために、攻撃者（または攻撃者によりコントロールされているシステム）は脆弱なシステムのラジオレンジ内である必要があります。

脆弱性が最も悪用されやすいのは、デバイスがアクティブな P2P 操作を開始している最中（例えば P2P_FIND や P2P_LISTEN のコントロールインターフェイスコマンドを実行中）です。しかし、アクティブな P2P 操作が実行中でなくとも、脆弱性を発生させることは可能です。ただし、これは非常に難しいです。