У стабильной версии Debian есть уязвимая версия wpa_supplicant?

Я на Debian jessie стабильный релиз. Я заметил, что версия wpa_supplicant уязвима для DoS-атак в соответствии с CVE-2015-8041 :

Множественное переполнение целых чисел в парсере записи NDEF в hostapd до 2.5 и wpa_supplicant до 2.5 позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой процесса или бесконечный цикл) с помощью большого значения поля длины полезной нагрузки в (1) WPS или (2) P2P Запись NFC NDEF, которая запускает чтение вне пределов.

На стабильном выпуске доступной версией является wpa_supplicant 2.3 , с обычным sources.list невозможно обновить текущую версию до версии wpa_supplicant 2.5 Почему Debian стабильно поддерживает некоторые устаревшие (уязвимые) пакеты?

2 Solutions collect form web for “У стабильной версии Debian есть уязвимая версия wpa_supplicant?”

В Debian есть трекер безопасности, который показывает статус CVE во всех поддерживаемых версиях. Вот ваш:

https://security-tracker.debian.org/tracker/CVE-2015-8041

Вы можете проверить, что он исправлен в версии 2.3-1+deb8u3 . Исправление, вероятно, было передано в более раннюю версию, что предотвращает нарушение других вещей с помощью rebase до новой версии в стабильном выпуске (точка стабильного выпуска).

Ошибка, которая позволяет удаленному человеку сбой программного обеспечения (DoS) не совсем на том же уровне риска, что и мы обычно думаем, когда говорим об «уязвимостях». Я бы не назвал это «уязвимым» пакетом; в противном случае вы поднимаете любую ошибку, которая может привести к сбою программы в уязвимости безопасности.

Кроме того, мне непонятно, действительно ли это можно использовать в любой реальной системе Debian. См. Комментарии в https://w1.fi/security/2015-5/incomplete-wps-and-p2p-nfc-ndef-record-payload-length-validation.txt и http://www.openwall.com/ списки / oss-security / 2015/11/02/5 :

Примечание. Никакая реализация стека NFC еще не была идентифицирована с возможностью передачи неверно сформированной записи NDEF в hostapd / wpa_supplicant. Таким образом, неизвестно, может ли эта проблема срабатывать на практике.

Как всегда, безопасность связана с управлением рисками. Уровень риска из-за этой ошибки звучит довольно низко для меня.

  • Лучшая последняя версия или пакет для rkhunter и chkrootkit?
  • сбросить разрешения системного файла, владельцев и групп
  • Как предотвратить использование HID-устройства на некоторых USB-портах
  • Нужно ли инкапсулировать переменные awk в кавычки для их дезинфекции?
  • Подскажите пользователю об отказе в безопасности Linux
  • Как получить список установленных пакетов, уязвимых для удаленной атаки на debian?
  • Если вы запускаете автоматические обновления
  • как требовать sudo для просмотра файлов?
  • Как отслеживать имена загруженных файлов на серверах Linux?
  • Почему запрос пароля немного отстает после ввода имени пользователя в tty?
  • Iptables: сопоставление исходящего трафика с conntrack и владельцем. Работает со странными каплями
  • Interesting Posts

    Как удалить файлы из папки с более чем 60 файлами в unix?

    Преобразование FFMPEG в FLV-конверсию

    Как установить заголовки разработки ядра для установки с помощью Buildroot для разработки модуля ядра?

    Нет выхода для журнала из tee при запуске mplayer как arg для gnome-terminal

    Получить «python-keyring», чтобы остановить запрос пароля «зашифрованный ключ»

    Патч без изменения владельца и группы

    Почему разница в tar czf в Debian 8.5 и 8.7?

    Обновлен до Ubuntu 14.04 – Почтовый сервер отсутствует dovecot-lmtp, даже если он установлен

    Есть ли сжатый бок о бок diff формат?

    до какой глубины может aptitude -v многословная работа

    разница между / lib / module / $ (uname -r) и / sys / module

    Функция Bash, которая принимает входные данные от параметра или трубы

    Клей FFMPEG MPEG TS

    Проблема масштабирования с использованием разрешения Ultra HD между ноутбуком и монитором

    Как процесс может потреблять больше / меньше виртуальной памяти (согласно верхней части), тогда размер страницы становится доступным?

    Linux и Unix - лучшая ОС в мире.