Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-07364

Опубликовано: 16 янв. 2022
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость реализации EAP-pwd клиента защищённого доступа Wi-Fi WPA Supplicant связана с раскрытием информации через несоответствие. Уязвимость позволяет нарушителю, действующему удаленно, раскрыть защищаемую информацию

Вендор

Сообщество свободного программного обеспечения
Jouni Malinen
Novell Inc.
Fedora Project
ООО «РусБИТех-Астра»
АО «ИВК»
Red Hat Inc.
ООО «Открытая мобильная платформа»
АО «НТЦ ИТ РОСА»

Наименование ПО

Debian GNU/Linux
WPA Supplicant
OpenSUSE Leap
Fedora
Astra Linux Special Edition
Альт 8 СП
Red Hat Enterprise Linux
openSUSE Leap Micro
ОС Аврора
hostapd
ROSA Virtualization
РОСА ХРОМ

Версия ПО

10 (Debian GNU/Linux)
от 1.0 до 2.10 (WPA Supplicant)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
35 (Fedora)
1.7 (Astra Linux Special Edition)
15.4 (OpenSUSE Leap)
- (Альт 8 СП)
9 (Red Hat Enterprise Linux)
5.2 (openSUSE Leap Micro)
4.7 (Astra Linux Special Edition)
до 4.0.2.209 (ОС Аврора)
до 4.0.2.209 (ОС Аврора)
до 4.0.2.209 (ОС Аврора)
до 4.0.2.209 (ОС Аврора)
до 2.10 (hostapd)
2.1 (ROSA Virtualization)
12.4 (РОСА ХРОМ)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Fedora Project Fedora 35
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. OpenSUSE Leap 15.4
АО «ИВК» Альт 8 СП -
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. openSUSE Leap Micro 5.2
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.209
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.209
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.209
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.209
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для WPA Supplicant:
https://w1.fi/security/2022-1/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-23304
Для программных продуктов Novell Inc.:
https://www.suse.com/es-es/security/cve/CVE-2022-23304.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-23304
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YPDHU5MV464CZBPX7N2SNMUYP6DFIBZL/
Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb17321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb18322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb19323
Для ОС Аврора 4.0.2:
https://cve.omprussia.ru/bb20402
Для Astra Linux Special Edition 1.7:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства
Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2162
Для операционной системы РОСА ХРОМ:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2311
https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2367

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 17%
0.00056
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-23304

CVSS3: 9.8
ubuntu
около 4 лет назад

The implementations of EAP-pwd in hostapd before 2.10 and wpa_supplicant before 2.10 are vulnerable to side-channel attacks as a result of cache access patterns. NOTE: this issue exists because of an incomplete fix for CVE-2019-9495.

redhat логотип

CVE-2022-23304

CVSS3: 7
redhat
около 4 лет назад

The implementations of EAP-pwd in hostapd before 2.10 and wpa_supplicant before 2.10 are vulnerable to side-channel attacks as a result of cache access patterns. NOTE: this issue exists because of an incomplete fix for CVE-2019-9495.

nvd логотип

CVE-2022-23304

CVSS3: 9.8
nvd
около 4 лет назад

The implementations of EAP-pwd in hostapd before 2.10 and wpa_supplicant before 2.10 are vulnerable to side-channel attacks as a result of cache access patterns. NOTE: this issue exists because of an incomplete fix for CVE-2019-9495.

msrc логотип

CVE-2022-23304

CVSS3: 9.8
msrc
около 4 лет назад

Описание отсутствует

debian логотип

CVE-2022-23304

CVSS3: 9.8
debian
около 4 лет назад

The implementations of EAP-pwd in hostapd before 2.10 and wpa_supplica ...

EPSS

Процентиль: 17%
0.00056
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2