ГлавнаяБаза уязвимостей БДУ → BDU:2024-07487
10критическая

BDU:2024-07487

Уязвимость реализации протокола аутентификации SAE H2E встраиваемой операционной системы OpenWrt, позволяющая нарушителю понизить версию используемого протокола
Опубликовано: 2024-09-25
Описание

Уязвимость реализации протокола аутентификации SAE H2E встраиваемой операционной системы OpenWrt связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, понизить версию используемого протокола

Затрагиваемое ПО и версии
OpenWrt (до 23.05.5)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение опции H2E;
- ограничение hostapd на настройку включения нескольких групп для SAE.

Использование рекомендаций:
https://lists.openwrt.org/pipermail/openwrt-announce/2024-September/000058.html
https://w1.fi/security/2024-2/sae-h2h-and-incomplete-downgrade-protection-for-group-negotiation.txt

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://lists.openwrt.org/pipermail/openwrt-announce/2024-September/000058.htmlhttps://w1.fi/security/2024-2/sae-h2h-and-incomplete-downgrade-protection-for-group-negotiation.txt
Проверьте безопасность своего сайта и почты → Полная проверка домена