WPA3 のプロトコルと実装に複数の脆弱性

最終更新日: 2019/04/17

情報源

CERT/CC Vulnerability Note VU#871675
WPA3 design issues and implementation vulnerabilities in hostapd and wpa_supplicant
https://www.kb.cert.org/vuls/id/871675/

概要

WPA3 プロトコルならびに hostapd と wpa_supplicant の実装には、複数の脆弱性があります。結果として、遠隔の第三者が、情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。
対象となる製品は次のとおりです。

– WPA3 プロトコルを実装している製品

この問題は、hostapd と wpa_supplicant を開発者が提供する修正済みのバージョンに更新することで解決します。また、この問題に対して、ベンダなどから対策に関する情報が公開されています。修正済みのバージョンが公開されている場合は適用することをおすすめします。詳細は、開発者やベンダなどが提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#94228755
WPA3 のプロトコルと実装に複数の脆弱性
https://jvn.jp/vu/JVNVU94228755/

関連文書 (英語)

Wi-Fi Alliance

SAE side-channel attacks
https://w1.fi/security/2019-1/sae-side-channel-attacks.txt

Wi-Fi Alliance

EAP-pwd side-channel attack
https://w1.fi/security/2019-2/eap-pwd-side-channel-attack.txt

Wi-Fi Alliance

SAE confirm missing state validation
https://w1.fi/security/2019-3/sae-confirm-missing-state-validation.txt

Wi-Fi Alliance

EAP-pwd missing commit validation
https://w1.fi/security/2019-4/eap-pwd-missing-commit-validation.txt

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-17」
https://www.jpcert.or.jp/wr/2019/wr191501.html