Re: [DONE] wml://security/2019/dsa-4430.wml
Пт 12 апр 2019 @ 16:40 Galina Anikina <merilaga@yandex.ru>:
> On Fri, 2019-04-12 at 16:42 +0500, Lev Lamberov wrote:
>> + может приводить к атаками, при которых можно завершить
>
> может приводить к атакам
>> + <p>У узла EAP-pwd отсутствует проверка завершения транзакции на
>> предмет некорректных блока
>> + коэффициентов/элемента: wpa_supplicant не выполняет проверку
>> полученных в сообщении EAP-pwd-Commit
>> + значений, поэтому злоумышленник может использовать специально
>> сформированное сообщение о завершении
>> + транзакции для управления обменом с целью того, чтобы служба
>> wpa_supplicant вывела сессионный
>> + ключ из ограниченного набора возможных значений. Это может
>> приводить к тому, что злоумышленник
>> + будет способен завершить аутентификацию и сможет выступать в
>> качестве поддельной точки доступа.</p>
>
> может так -
> проверка завершения транзакции на предмет некорректного блока
> коэффициентов/элемента
>
> то есть ... некорректного блока .../элемента (или элемента)
Это исправил на ранее предложенный вариант.
>> +<p>В связи со сложностями обратного переноса исправление этих
>> уязвимостей
>> +является частичным. Пользователям рекомендуется использовать стойкие
>> пароли, чтобы
>> +предотвратить атаки по словарю, либо использовать версию на основе
>> ветки 2.7 из stretch-backports
>> +(версию, выше 2:2.7+git20190128+0c1e29f-4).</p>
>
> может
> В связи со сложностями обратного переноса кода исправление этих
ОК.
> может
> атаки по словарю, либо использовать версию (чего? какой программы?,
> может SAE) на основе ветки 2.7 из stretch-backports
Пакета.
Исправил. Спасибо!
Reply to: