CVE编号
CVE-2019-13377利用情况
暂无补丁情况
官方补丁披露时间
2019-08-16漏洞描述
在使用Brainpool曲线时,由于可观察到的时序差异和缓存访问模式,hostapd和wpa_supplicant 2.x到2.8中的SAE和EAP-pwd的实现容易受到旁道攻击。攻击者可能能够从可用于完全密码恢复的旁道攻击中获取泄露的信息。解决建议
厂商尚未提供漏洞修复方案,请关注厂商主页更新:https://www.wi-fi.org/
参考链接 |
|
|---|---|
| https://lists.fedoraproject.org/archives/list/[email protected]... | |
| https://seclists.org/bugtraq/2019/Sep/56 | |
| https://usn.ubuntu.com/4098-1/ | |
| https://w1.fi/cgit/hostap/commit/?id=147bf7b88a9c231322b5b574263071ca6dbb0503 | |
| https://w1.fi/cgit/hostap/commit/?id=cd803299ca485eb857e37c88f973fccfbb8600e5 | |
| https://www.debian.org/security/2019/dsa-4538 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | w1.fi | hostapd | * |
From (including) 2.0 |
Up to (including) 2.8 |
||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.10 | wpa | * |
Up to (excluding) 2.8-r1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.9 | wpa | * |
Up to (excluding) 2.7-r4 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | wpa | * |
Up to (excluding) 2:2.7+git20190128+0c1e29f-6+deb10u1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_30 | wpa | * |
Up to (excluding) 2.9-1.fc30 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_EPEL_7 | wpa | * |
Up to (excluding) 2.9-1.el7 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.1 | wpa | * |
Up to (excluding) 2.9-lp151.5.10.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.2 | wpa | * |
Up to (excluding) 2.9-lp152.8.3.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | suse_12_SP5 | wpa | * |
Up to (excluding) 2.9-23.3.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_18.04 | wpa | * |
Up to (excluding) 2:2.6-15ubuntu2.4 |
|||||
- 攻击路径 远程
- 攻击复杂度 困难
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 100
还没有评论,来说两句吧...