Debian 的穩定版本是否包含易受攻擊的 wpa_supplicant 版本?
我在穩定版本的 Debian jessie 上。我注意到
wpa_supplicant根據CVE-2015-8041的版本容易受到 DoS 攻擊:2.5 之前的 hostapd 和 2.5 之前的 wpa_supplicant 中的 NDEF 記錄解析器中的多個整數溢出允許遠端攻擊者通過 (1) WPS 或 (2) P2P 中的大負載長度欄位值導致拒絕服務(程序崩潰或無限循環) NFC NDEF 記錄,觸發越界讀取。
在穩定版本中,可用版本是
wpa_supplicant 2.3,正常版本sources.list無法將目前版本升級到wpa_supplicant 2.5,為什麼 Debian stable 保留一些過時(易受攻擊的)軟體包?
Debian 具有安全跟踪器,可顯示所有受支持版本中 CVE 的狀態。這是你的:
https://security-tracker.debian.org/tracker/CVE-2015-8041
您可以檢查它在版本中是否已修復
2.3-1+deb8u3。該修復程序可能已向後移植到舊版本,這可以防止在穩定版本(穩定版本點)中通過變基到新版本來破壞其他東西。
允許遠端個人崩潰軟體 (DoS) 的錯誤與我們通常在談論“漏洞”時所想到的風險級別並不完全相同。我不會稱其為“易受攻擊”的包裹。否則,您將任何可能導致程序崩潰的錯誤提升為安全“漏洞”。
另外,我不清楚這是否真的可以在任何真正的 Debian 系統上被利用。請參閱https://w1.fi/security/2015-5/incomplete-wps-and-p2p-nfc-ndef-record-payload-length-validation.txt和http://www.openwall.com/中的評論列表/oss-security/2015/11/02/5:
注意:尚未確定 NFC 堆棧實現能夠將格式錯誤的 NDEF 記錄傳遞給 hostapd/wpa_supplicant。因此,尚不清楚該問題是否可以在實踐中觸發。
與往常一樣,安全與風險管理有關。對我來說,這個錯誤造成的風險級別聽起來很低。