Commit 9f3b56d3 authored by Lev Lamberov's avatar Lev Lamberov

(Russian) Initial translation

parent 93943dab
#use wml::debian::translation-check translation="8f89f4f84d1b72c6872f117662668a6e94dbb51a" mindelta="1" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>Мати Ванхоеф (NYUAD) и Эяль Ронен (Tel Aviv University и KU Leuven) обнаружили
многочисленные уязвимости реализации WPA в wpa_supplication (станция) и
hostapd (точка доступа). Эти уязвимости вместе известны под названием
<q>Dragonblood</q>.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9495">CVE-2019-9495</a>
<p>Атака по сторонним каналам на основе кэша на реализацию EAP-pwd:
злоумышленник, способный запускать непривилегированный код на целевой машине (включая,
например, javascript-код в браузере на смартфоне) в ходе рукопожатия,
может получить достаточно информации для обнаружения пароля при атаке
по словарю.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9497">CVE-2019-9497</a>
<p>Атака методом отражения на серверную реализацию EAP-pwd: отсутствие
проверки получаемого блока коэффициентов и значения элемента в сообщениях EAP-pwd-Commit
может приводить к атаками, при которых можно завершить аутентификацию при обмене по EAP-pwd
без знания пароля. Это не приводит к тому, что злоумышленник способен вывести
ключ сессии, завершить последующий обмен ключами и получить доступ к сети.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9498">CVE-2019-9498</a>
<p>Отсутствие проверки завершения транзакций EAP-pwd на стороне сервера для блока коэффициентов/элемента:
hostapd не выполняет проверку получаемых в сообщении EAP-pwd-Commit значений, поэтому
злоумышленник может использовать специально сформированное сообщение о завершении транзакции для
управления обменом с целью того, чтобы служба hostapd вывела сессионный ключ из ограниченного набора
возможных значений. Это может приводить к тому, что злоумышленник будет способен завершить
аутентификацию и получить доступ к сети.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9499">CVE-2019-9499</a>
<p>У узла EAP-pwd отсутствует проверка завершения транзакции на предмет некорректных блока
коэффициентов/элемента: wpa_supplicant не выполняет проверку полученных в сообщении EAP-pwd-Commit
значений, поэтому злоумышленник может использовать специально сформированное сообщение о завершении
транзакции для управления обменом с целью того, чтобы служба wpa_supplicant вывела сессионный
ключ из ограниченного набора возможных значений. Это может приводить к тому, что злоумышленник
будет способен завершить аутентификацию и сможет выступать в качестве поддельной точки доступа.</p>
</ul>
<p>Заметьте, что название Dragonblood также применяется к
<a href="https://security-tracker.debian.org/tracker/CVE-2019-9494">\
CVE-2019-9494</a> и <a href="https://security-tracker.debian.org/tracker/CVE-2014-9496">\
CVE-2014-9496</a>, которые являются уязвимостями в протоколе SAE в WPA3. SAE не включён
в сборки wpa для Debian stretch, а поэтому по умолчанию они не являются уязвимыми.</p>
<p>В связи со сложностями обратного переноса исправление этих уязвимостей
является частичным. Пользователям рекомендуется использовать стойкие пароли, чтобы
предотвратить атаки по словарю, либо использовать версию на основе ветки 2.7 из stretch-backports
(версию, выше 2:2.7+git20190128+0c1e29f-4).</p>
<p>В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 2:2.4-1+deb9u3.</p>
<p>Рекомендуется обновить пакеты wpa.</p>
<p>С подробным статусом поддержки безопасности wpa можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
<a href="https://security-tracker.debian.org/tracker/wpa">\
https://security-tracker.debian.org/tracker/wpa</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4430.data"
Markdown is supported
0% or
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment