저는 데비안 jessie 안정 버전을 사용하고 있습니다. 나는 이 버전이 wpa_supplicant
DoS 공격에 취약하다는 것을 발견했습니다.CVE-2015-8041:
2.5 이전의 Hostapd와 2.5 이전의 wpa_supplicant의 NDEF 레코드 파서에서 다중 정수 오버플로로 인해 원격 공격자가 (1) WPS 또는 (2) P2P의 큰 페이로드 길이 필드 값을 통해 서비스 거부(프로세스 충돌 또는 무한)를 일으킬 수 있었습니다. 루프) NFC NDEF 레코드, 범위를 벗어난 읽기를 트리거합니다.
안정 버전에서 사용 가능한 버전은 현재 버전을 wpa_supplicant 2.3
일반 버전 으로 업그레이드하는 것이 불가능하다는 것입니다 . 데비안 안정 버전이 일부 오래된(취약한) 패키지를 유지하는 이유는 무엇입니까?sources.list
wpa_supplicant 2.5
답변1
Debian에는 지원되는 모든 버전의 CVE 상태를 표시하는 보안 추적기가 있습니다. 이것은 당신 것입니다:
https://security-tracker.debian.org/tracker/CVE-2015-8041
버전에서 수정되었는지 확인하실 수 있습니다 2.3-1+deb8u3
. 수정 사항이 이전 버전으로 백포트되었을 수 있으므로 안정적인 릴리스(안정적인 릴리스 지점)에서 새 버전으로 다시 조정할 때 다른 콘텐츠가 손상되는 것을 방지할 수 있습니다.
답변2
원격 개인이 소프트웨어 충돌(DoS)을 일으킬 수 있는 버그는 우리가 "취약성"에 관해 이야기할 때 일반적으로 생각하는 위험 수준과 정확히 같은 수준은 아닙니다. 나는 그것을 "취약한" 패키지라고 부르지 않을 것입니다. 그렇지 않으면 프로그램이 보안 "취약성"에 충돌할 수 있는 버그를 홍보하게 될 것입니다.
또한 이것이 실제 데비안 시스템에서 실제로 악용될 수 있는지도 모르겠습니다. 댓글 보기https://w1.fi/security/2015-5/incomplete-wps-and-p2p-nfc-ndef-record-payload-length-validation.txt그리고http://www.openwall.com/lists/oss-security/2015/11/02/5:
참고: NFC 스택 구현이 잘못된 형식의 NDEF 레코드를 Hostapd/wpa_supplicant에 전달할 수 있는지 확인되지 않았습니다. 따라서 이 문제가 실제로 촉발되는지 여부는 불분명합니다.
언제나 그렇듯이 보안은 위험 관리에 관한 것입니다. 나에게는 이 오류로 인한 위험 수준이 매우 낮은 것 같습니다.