此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

预警信息
当前位置: 首页 预警信息
名称:  关于WPA2无线网络密钥重装漏洞的安全公告
索引:  K08260953/2017-02931 发布机构:  吉林省通信管理局办公室
生成日期:  2017-11-7 11:10:03 文号:  
信息分类:   关键词:  
内容概述:  关于WPA2无线网络密钥重装漏洞的安全公告
关于WPA2无线网络密钥重装漏洞的安全公告
发布时间:2017-11-7 11:10:03  

  安全公告编号:CNTA-2017-0070
  近日,国家信息安全漏洞共享平台(CNVD)收录了WPA2无线网络组密钥重装漏洞(CNVD-2017-,对应CVE-2017-13077、CVE-2017-13078、CVE-2017-13079、CVE-2017-13080、CVE-2017-13081、CVE-2017-13082、CVE-2017-13084、CVE-2017-13086、CVE-2017-13087、CVE-2017-13088)。远程攻击者利用该漏洞可实现包括数据包解密和注入、TCP连接劫持、HTTP内容注入或单播和组寻址帧的重放攻击。
  一、漏洞情况分析
  WPA全名为Wi-FiProtected Access,中文译名Wi-Fi网络安全接入,包括:WPA和WPA2两个标准,是一种保护无线电脑网络(Wi-Fi)安全的系统。WPA2 (WPA 第二版)是基于WPA的一种新的加密方式,具备完整的IEEE 802.11i标准体系。
  WPA2无线网络加密协议漏洞,入侵方式被称作“密钥重装攻击”。Wi-Fi保护访问II(WPA2)的密钥协商握手协议存在设计缺陷,可通过部分报文重放,重置随机数和会话密钥,导致无线接入点(AP)或客户端重新安装密钥。攻击者利用这些漏洞,可在AP和客户端的连接范围内,实现包括数据包解密和注入、TCP连接劫持、HTTP内容注入或单播和组寻址帧的重放攻击,破坏数据传输的机密性。
  CNVD对该漏洞的综合评级为“中危”。
  二、漏洞影响范围
  受影响的厂商如下:
  ArubaNetworks、Cisco、Espressif Systems、Fortinet, Inc.、FreeBSD Project、Google、HostAP、Intel Corporation、Juniper Networks、Microchip Technology、Microsoft Corporation、OpenBSD、Peplink、Red Hat, Inc.、Samsung Mobile。
  三、漏洞修复建议
  目前,已修复该漏洞的厂商如下,CNVD建议用户及时下载补丁进行更新:
  Cisco:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa
  Intel Corporation:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00101&languageid=en-fr
  Juniper:http://kb.juniper.net/JSA10827
  Microsoft:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
  Aruba:http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2017-007.txt
  Broadcom: Advisory will be distributeddirectly to customers
  Marvell: Advisory to be distributeddirectly to customers
  Mojo Networks:http://www.mojonetworks.com/wpa2-vulnerability
  Peplink:https://forum.peplink.com/t/security-advisory-wpa2-vulnerability-vu-228519/12715
  Sierra Wireless:https://source.sierrawireless.com/resources/airlink/software_reference_docs/technical-bulletin/sierra-wireless-technical-bulletin—wpa-and-wpa2-vulnerabilities/
  WatchGuard:https://www.watchguard.com/wgrd-blog/wpa-and-wpa2-vulnerabilities-update
  Wi-Fi Alliance:https://www.wi-fi.org/securityupdate2017
  附:参考链接:
  
https://www.kb.cert.org/vuls/id/228519/
  
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080