Критическая уязвимость в wpa_supplicant, компоненте для подключения к беспроводным сетям

24.04.2015 08:50

В пакете wpa_supplicant, используемом для организации подключения к беспроводной сети во многих дистрибутивах Linux, *BSD и Android, выявлена опасная уязвимость (CVE-2015-1863), которая потенциально может быть использована для выполнения кода злоумышленника при обработке специально оформленных данных в поле SSID при установке или обновлении информации о P2P-пирах.

Допустимый размер поля SSID составляет 32 байта, в то время как при передаче данный элемент передаётся в поле, длина которого ограничивается 8 битным счётчиком, т.е. в данном поле допустимо передать до 255 байт данных. Так как в wpa_supplicant отсутствует проверка размера данного поля, под данные размером до 255 байт отводится буфер в 32 байта, а лишние 223 байта перекроют структуры, следующие за полем SSID. В том числе может оказаться перезаписан находящийся в структуре p2p_device указатель, по которому в дальнейшем передаётся управление. Кроме того, около 150 байт перезаписывают область, находящуюся за пределами выделенного из кучи блока памяти.

В итоге, при получении от другого устройства пакета с некорректным размером SSID не исключается организация выполнения кода злоумышленника, а также модификация структур wpa_supplicant, инициирование краха или организация утечки содержимого памяти процесса. Для эксплуатации уязвимости атакующий должен быть в пределах досягаемости беспроводной сети, чтобы отправить жертве специально оформленный набор кадров, передающих информацию о P2P-связи. Атака упрощается, если устройство жертвы выполняет активные P2P-операции, такие как поиск узлов в сети (P2P_FIND) или приём запросов на соединение (P2P_LISTEN). Если P2P-операции не выполняются, эксплуатировать уязвимость значительно сложнее.

Проблеме подвержены версии wpa_supplicant с 1.0 по 2.4, собранные с опцией CONFIG_P2P (как правило, она включена по умолчанию). Исправление проблемы пока доступно только в виде патча. В качестве обходного пути защиты можно отключить P2P-режим в настройках ("p2p_disabled=1" в файле конфигурации, "P2P_SET disabled 1" в cli) или пересобрать пакет без опции "CONFIG_P2P=y". Оценить появление обновлений в дистрибутивах можно на следующих страницах: RHEL 6, RHEL 7, Ubuntu, Debian, Fedora,openSUSE, SLES, Slackware, Gentoo, CentOS, ALT Linux, FreeBSD.

исправить +14 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/42097-wpa_supplicant

Ключевые слова: wpa_supplicant

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (58)

1.1, iPony (?), 08:58, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+14 +/–
> Оценить появление обновлений в дистрибутивах можно на следующих страницах: RHEL 6 ... FreeBSD. А 99% ведроидов традиционно не получат этого обновления...

2.9, Аноним (-), 09:48, 24/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
А, погодите, я теперь кажется начинаю понимать как работает та уязвимость с циклической перезагрузкой всех ифонов в районе, увидевших энную точку доступа :). Где там наш aireplay и MDK3? Там поди то же самое, только в получении SSID от сети. Ололошеньки! :)

3.14, iPony (?), 10:01, 24/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Мимо, в iOS та уязвимость - суть DoS в сфере обработке SSL сертификатов - совсем не относится к сабжу.

4.16, Аноним (-), 10:05, 24/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Ок, то-есть ифоны еще никто мусором с воздуха не fuzz'ил? Будем первыми! :)

4.41, Аноним (-), 13:02, 24/04/2015 [^] [^^] [^^^] [ответить]	+5 +/–
А если не та? А если найду?

2.61, Отражение луны (ok), 05:36, 25/04/2015 [^] [^^] [^^^] [ответить]	–1 +/–
Нексусы и топовые устройства получат, а все остальное один хрен мусор.

3.63, Аноним (-), 13:09, 25/04/2015 [^] [^^] [^^^] [ответить]	+4 +/–
> Нексусы и топовые устройства получат, а все остальное один хрен мусор. Юношеский максмализм - это как-то так :)

4.67, Отражение луны (ok), 09:12, 26/04/2015 [^] [^^] [^^^] [ответить]	+/–
Как скажешь, экстрасенс.

2.69, Анононим (?), 12:46, 27/04/2015 [^] [^^] [^^^] [ответить]	+/–
то-то минт дня 3-4 назад обновить wpa_suplikant внезапно захотел

1.2, Sauron (??), 09:03, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Владельцы андроидов будут страдать?

2.3, Аноним (-), 09:10, 24/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
> В качестве обходного пути защиты можно отключить P2P-режим в настройках ("p2p_disabled=1" в файле конфигурации, "P2P_SET disabled 1" в cli) или пересобрать пакет без опции "CONFIG_P2P=y". Так что не будут.

3.21, Аноним (-), 10:31, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
"Андроид"... "пересобрать"... ага, не будут.

4.25, Аноним (-), 11:08, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
> "Андроид"... "пересобрать"... Да запросто. Linaro tools в зубы и в перёд.

5.27, Аноним (-), 11:09, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
> в перёд. чОрт, пробел лишний :D

6.50, Аноним (-), 14:57, 24/04/2015 [^] [^^] [^^^] [ответить]

+2 +/–

> чОрт, пробел лишний :D

"Вот что бывает когда в кама-сутре опечатка"

4.45, нонима (?), 13:35, 24/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
ночнушки Cyanogen смеются вам в лицо =)

5.51, Аноним (-), 14:58, 24/04/2015 [^] [^^] [^^^] [ответить]	+9 +/–
> ночнушки Cyanogen смеются вам в лицо =) А что, там уже интегрировали зонды от микрософта? Боты от микрософта еще не смеются вам в лицо?

6.57, Аноним (-), 20:34, 24/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
В сборки CyanogenMod не интегрировали и не будут. Встраиваться микрософтовские сервисы будут только в Cyanogen OS

7.64, Аноним (-), 13:11, 25/04/2015 [^] [^^] [^^^] [ответить]

–1 +/–

> В сборки CyanogenMod не интегрировали и не будут.

Это кто вам сказал? Чего это микрософт будет упускать аудиторию для своих зондов^W простите, программ.

2.15, anonymous (??), 10:04, 24/04/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Все будут страдать

2.56, бырбырбыр (?), 17:48, 24/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
С самой покупки.

1.4, Омоним (?), 09:14, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Kali Linux: > $ grep -rie 'CONFIG_P2P\|p2p_disabled\|P2P_FIND\|P2P_LISTEN\|P2P_SET' /etc/wpa_supplicant/ /sbin/wpa_* \| wc -l > 0

2.46, mva (??), 13:37, 24/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
grep -c

1.5, Омоним (?), 09:23, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Еще не разбирался с тем, что за баг у iOS, но там недавно заявили о возможности циклически перезагружать устройство.

2.12, Аноним (-), 10:00, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
> Еще не разбирался с тем, что за баг у iOS, но там > недавно заявили о возможности циклически перезагружать устройство. Есть подозрения что нечто наподобие. Скорее всего оно тоже не может прожевать мусор или слишком длинный SSID.

3.52, Anonplus (?), 16:46, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
Там сертификат нужен специально сформированный. SSID не при чём.

1.6, слакварявод (ok), 09:23, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Slackware: bash-4.3# grep -rie 'CONFIG_P2P\|p2p_disabled\|P2P_FIND\|P2P_LISTEN\|P2P_SET' /etc/wpa_supplicant.conf /usr/sbin/wpa_* \| wc -l 0

1.8, Аноним (-), 09:45, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Чуваки из OpenBSD как всегда молодцы: у них wpa psk без wpa_supplicant работает.

2.13, Аноним (-), 10:01, 24/04/2015 [^] [^^] [^^^] [ответить]

–1 +/–

> работает.

Я думаю что у них все проще: не работает ни 1 сетевка способная P2P фреймы слать. И уж тем более P2P не реализован даже в проекте.

А если радио выключить - через него вас уж точно не смогут хакнуть. Хотя для надежности лучше вынуть сетевку из слота.

3.17, anonymous (??), 10:06, 24/04/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Для надёжности лучше вынуть вилку из розетки

4.19, Аноним (-), 10:09, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
> Для надёжности лучше вынуть вилку из розетки Для ноутбука, планшета и смарта рецепт может и не сработать с наскока, там еще батарейка есть :)

5.53, Аноним (-), 16:55, 24/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Тот динозавр не знает о существовании таких железок :) То есть как - компьютер без 3-х фазного генератора?! 8-о

3.28, Аноним (-), 11:15, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
>> работает. > Я думаю что у них все проще: не работает ни 1 сетевка > способная P2P фреймы слать. И уж тем более P2P не реализован > даже в проекте. > А если радио выключить - через него вас уж точно не смогут > хакнуть. Хотя для надежности лучше вынуть сетевку из слота. Ты думаешь? Моя вот работает. Wpa_supplicant там тоже есть, но для простых случаев (читай при отсутствии аутентификации через RADIUS и т.п.) он нафиг не нужен.

4.39, Аноним (-), 12:53, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
> Ты думаешь? Моя вот работает. Wpa_supplicant там тоже есть, И как там насчет дыр? Или там просто боянная версия, которая про P2P режимы ничего не слышала?

3.32, Аноним (-), 11:31, 24/04/2015 [^] [^^] [^^^] [ответить]

+2 +/–

> Я думаю что у них все проще: не работает ни 1 сетевка способная P2P фреймы слать. И уж тем более P2P не реализован даже в проекте.

А мужики-то и не знают...

$ egrep -l 'IBSS( .*)$' /usr/share/man/man4/*
acx.4
an.4
ath.4
atu.4
atw.4
ifmedia.4
ipw.4
iwi.4
pgt.4
ral.4
rtw.4
rum.4
ural.4
wi.4
zyd.4

Лучше бы вы думали чем-то другим, чем в этот раз. А ещё лучше - подумали бы ещё о том, что вместо того чтобы ляпнуть и опозориться, можно просто проверить документацию, прямо на официальном сайте проекта OpenBSD.

4.38, Аноним (-), 12:52, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
Вот почему что ни бсдшник - то дикарь из пещеры, но с апломбом президента планеты? Я конечно понимаю что дикари в микроволновках плохо разбираются и не очень понимают отличие микроволн от гриля, а P2P от Ad-Hoc, но тогда нафуя с апломбом бряцать командами? :). До того как бряцать мегакомандами, нехило бы сначала узнать что P2P-режимы радио - это совсем не то же самое что Ad-Hoc.

1.10, Аноним (-), 09:48, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Во всех RH-подобных нет такой опции сборки.

1.11, Аноним (-), 09:50, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Какое-то обновление wpa было еще вчера в бубунте

2.20, Аноним (-), 10:13, 24/04/2015 [^] [^^] [^^^] [ответить]	+2 +/–
> Какое-то обновление wpa было еще вчера в бубунте Судя по changelog - это самое.

1.22, fantom (ok), 10:40, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]

+/–

На "ведроиде" (почти любом) открываем /etc/wifi/wpa_supplicant.conf и вписываем
p2p_disabled=1
...

А теперь проделайте то же самое на айфоне или винде при аналогичной дырке....

2.23, kemko (ok), 10:47, 24/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
А если без рут-доступа? А то делать одну брешь в безопасности устройства для того, чтобы закрыть другую что-то не хочется.

3.24, Аноним (-), 10:54, 24/04/2015 [^] [^^] [^^^] [ответить]	+8 +/–
А если без рут доступа - ты в системе не администратор, а так, какая-то фигня, в гостях у настоящих админов системы. Получение рута в своей системе - это не дыра в безопасности. Это возможность полноценно рулить СВОИМ устройством. Без рута считать девайс своим вообще как-то криво: все ключевые решения за вас принимают совсем иные люди, у которых вы так, в гостях. На _ИХ_ железке.

4.26, kemko (ok), 11:09, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
> Получение рута в своей системе - это не дыра в безопасности. http://forum.xda-developers.com/showthread.php?t=2525552

5.31, arisu (ok), 11:18, 24/04/2015 [^] [^^] [^^^] [ответить]	+4 +/–
>> Получение рута в своей системе - это не дыра в безопасности. > http://forum.xda-developers.com/showthread.php?t=2525552 p.s. сама необходимость что‐то доставлять, чтобы получить то, что должно быть из коробки — это великолепно, конечно. пошли смс «янелох» на короткий номер, да.

6.54, Аноним (-), 17:39, 24/04/2015 [^] [^^] [^^^] [ответить]

+/–

> p.s. сама необходимость что‐то доставлять, чтобы получить то, что должно быть из
> коробки — это великолепно, конечно. пошли смс «янелох» на короткий номер, да.

Особенно НеЛохасто то что оно при этом еще и дырявое. Вот только дырявость какой-то левой программы и возможность получить в системе рута - вообще разные вещи. Но наш НеЛох про это видимо не в курсе.

2.36, Нанобот (ok), 12:06, 24/04/2015 [^] [^^] [^^^] [ответить]	–1 +/–
>А теперь проделайте то же самое на айфоне или винде при аналогичной дырке.... на винде: открываем редактор реестра и правим ключ

3.37, Аноним (-), 12:38, 24/04/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Это если он есть.

3.55, Аноним (-), 17:39, 24/04/2015 [^] [^^] [^^^] [ответить]

+2 +/–

> на винде: открываем редактор реестра и правим ключ

Например, какой? :)

3.58, Куяврег (?), 20:50, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
WPAbug=off?

1.30, via (??), 11:18, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
на убунту 14.04 и 15.04 какое-то обновление с wpa_supplicant прилетало вчера, кстати

1.34, Zenitur (ok), 11:52, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
На роутерах wpa_supplicant?

2.35, kemko (ok), 11:53, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
> На роутерах wpa_supplicant? На Unifi, например, да.

2.44, Аноним (-), 13:05, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
> На роутерах wpa_supplicant? Внезапно, да.

1.47, iZEN (ok), 13:52, 24/04/2015 [ответить] [﹢﹢﹢] [ · · · ]

+/–

FreeBSD 10-STABLE пересобираю с опцией:
WITHOUT_WPA_SUPPLICANT_EAPOL="true"

Да и на десктопе поддержка Wi-Fi лично мне не нужна, так что сюда же:
WITHOUT_WIRELESS="true"
WITHOUT_WIRELESS_SUPPORT="true"

https://www.freebsd.org/cgi/man.cgi?query=src.conf&apropos=0&sektion=0&manpath

2.48, Аноним (-), 14:25, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
> Ядро FreeBSD 10-STABLE пересобираю с опцией: > WITHOUT_WPA_SUPPLICANT_EAPOL="true" Пересборка ядра может пропатчить программулину из базы/"мира" 0_O?

3.49, iZEN (ok), 14:45, 24/04/2015 [^] [^^] [^^^] [ответить]	+/–
Исправил.

1.60, Аниним (?), 00:05, 25/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
зачем p2p? я могу это сделать через airbase-ng (из aircrack-ng), передавая кривые пакеты на обычной вафле

2.65, А.Ноним (?), 16:48, 25/04/2015 [^] [^^] [^^^] [ответить]	+/–
>я могу это сделать через airbase-ng вообще-то разговор не о тебе

игнорирование участников | лог модерирования

Добавить комментарий

Текст: