FreeBSD：wpa_supplicant -- P2P SSID 处理漏洞 (cb9d2fcd-eb47-11e4-b03e-002590263bf5)

medium Nessus 插件 ID 83082

语言：

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Jouni Malinen 报告：

在 wpa_supplicant 使用从创建或更新 P2P 对等机条目的管理框架（例如，探测响应框架或 P2P 公用操作框架数）中解析的 SSID 信息的方式中发现一个漏洞。
SSID 字段的有效长度范围为 0-32 个八进制数。但是，它在具有 8 位长度字段和潜在最大负载长度为 255 个八进制数的元素中得到传输。wpa_supplicant 未对使用接收自对等机设备的 SSID 的代码路径之一的负载长度进行充分验证。

这可导致将来自攻击者的任意数据复制到固定长度为 32 个字节的缓冲区（即，可能造成最多 223 个字节的溢出）。SSID 缓冲区位于从堆分配的 struct p2p_device 中。该溢出可替代 struct 中的几个变量，包括得到释放的指针。此外，可在超过堆分配末尾的位置写入大约 150 个字节（实际长度取决于架构）。

这可导致堆中的损坏状态、因损坏的 P2P 对等机设备信息而造成的意外程序行为、因 wpa_supplicant 进程崩溃而造成的拒绝服务、GO 协商期间的内存内容暴露以及潜在的任意代码执行。

易受攻击的版本/配置

启用了 CONFIG_P2P 构建选项的 wpa_supplicant v1.0-v2.4（默认不会经过编译）。

攻击者（或攻击者控制的系统）需要处于易受攻击系统的广播范围内，以便发送经过适当构造的管理帧，从而触发创建或更新 P2P 对等机设备信息。

最早可在设备启动活动的 P2P 操作（例如，有正在执行中的 P2P_FIND 或 P2P_LISTEN 控制界面命令）时利用此漏洞。然而，即使没有任何进行中的活动 P2P 操作，也可能触发此漏洞，不过会更加困难。