WPA2 Fix – erfreulich fix

Posted on by

Kaum das die Welt von dem katastrophalen WPA2 Bug erfahren hat, da ist er auch schon wieder aus der Linux Welt verschwunden:

Oct 17 10:01:07 INFO Upgraded: wpa_supplicant-1:2.6-3.fc25.1.x86_64

Und das war drin :

* Mo Okt 16 2017 Lubomir Rintel <lkundrak@v3.sk> – 1:2.6-3.1
– hostapd: Avoid key reinstallation in FT handshake (CVE-2017-13082)
– Fix PTK rekeying to generate a new ANonce
– Prevent reinstallation of an already in-use group key and extend
protection of GTK/IGTK reinstallation of WNM-Sleep Mode cases
(CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081,
CVE-2017-13087, CVE-2017-13088)
Prevent installation of an all-zero TK*
– TDLS: Reject TPK-TK reconfiguration
– WNM: Ignore WNM-Sleep Mode Response without pending request
– FT: Do not allow multiple Reassociation Response frames

*) War der Fall mit dem 00000000 Key, was in dem KRACK Video zu sehen war und auch in Android 6 steckt. Da hilft dann auch nur ein Smartphoneupdate.

Es bleibt nur die Frage, was mit all den Android Altgeräten ohne Updates passiert. Werden die jetzt endgültig weggeworfen, weil man nicht mal mehr im heimischen WLAN damit surfen kann ?

2 thoughts on “WPA2 Fix – erfreulich fix

  1. >Es bleibt nur die Frage, was mit all den Android Altgeräten ohne Updates passiert. Werden die jetzt endgültig weggeworfen, weil man nicht mal mehr im heimischen WLAN damit surfen kann ?

    Lieschen Müller bekommt von dem Problem doch nichts mit. Die Geräte werden daher weder weggeworfen noch wird die Nutzung im WLAN vermieden.

    Solche Lücken zeigen mal wieder recht gut, dass man mit einem Custom-ROM wie LineageOS immer noch am besten beraten ist, wenn man auf Android setzt. Denn hier wurde der Patch schon gestern berücksichtigt und sollte in Kürze bei den Nightly Builds ankommen. Aber das bringt Lieschen Müller halt wieder nichts.

    Was ich aber für wesentlich problematischer halte ist dieser ganze IoT-Müll. Von dem Zeug werden vermutlich noch weniger Geräte ein Update erhalten als es bei den Smartphones mit Android der Fall sein wird.

    Laut diversen Quellen hat übrigens Windows wohl schon letzte Woche einen Patch gegen Krack veröffentlicht (wurden wohl, wie auch die Leute von OpenBSD (die scheinbar still und leise einen Patch veröffentlicht haben), vorab informiert).

    • Das liegt vermutlich daran, daß das Problem bereits Anfang Oktober an die wpa_supplicant Entwickler gemeldet wurde und
      die das bereits gepatch haben.

Comments are closed.