JVNDB-2019-002702
|
Broadcom 製 Wi-Fi チップセット向けの複数のドライバに複数の脆弱性
|
Broadcom 製 Wi-Fi チップセット用 Broadcom wl ドライバおよびオープンソースの brcmfmac ドライバには複数の脆弱性が存在します。
Broadcom wl ドライバの脆弱性:
クライアントがアクセスポイント (AP) との間で行う 4-way ハンドシェイク中の EAPOL メッセージ 3 の解析処理には、2つのヒープバッファオーバーフローが存在します。
ヒープバッファオーバーフロー - CVE-2019-9501
32 バイトを超えるベンダ情報要素を処理することで、wlc_wpa_sup_eapol 関数でヒープバッファオーバーフローが発生します。
ヒープバッファオーバーフロー - CVE-2019-9502
ベンダ情報要素のデータ長が164 バイトより大きい場合、wlc_wpa_plumb_gtk 関数でヒープバッファオーバーフローが発生します。
NOTE: Broadcom wl ドライバを SoftMAC チップセットで使用している場合、これらのバッファオーバフローはカーネル内で発生します。FullMAC チップセットで使用している場合、これらのバッファオーバフローはチップセットのファームウェア内で発生します。
オープンソースの brcmfmac ドライバに存在する脆弱性:
brcmfmac ドライバは Broadcom FullMAC チップセットでのみ動作するドライバです。
フレーム検証回避の脆弱性 - CVE-2019-9503
brcmfmac ドライバでは、リモートソースからファームウェアイベントフレームを受信した場合には is_wlc_event_frame 関数によってこのフレームを破棄し、ホストからファームウェアイベントフレームを受信した場合には適切なハンドラを呼び出すように作られています。
しかし、チップセットを接続するバスが USBの場合(例えば Wi-Fi ドングルなど)、上記の送信元に応じたフレーム検証処理が回避され、リモートソースからのファームウェアイベントフレームを処理させられる可能性があります。
ヒープバッファオーバーフロー - CVE-2019-9500
Wake-up on Wireless LAN 機能を有効に設定している場合、細工されたイベントフレームを処理することで、brcmf_wowl_nd_results 関数でヒープバッファオーバーフローが発生する可能性があります。
また、フレーム検証回避の脆弱性 (CVE-2019-9503) と組み合わせることで、遠隔からの攻撃に悪用される可能性があります。
|
|
|
Broadcom
|
|
細工された Wi-Fi フレームを処理することで、サービス運用妨害 (DoS) 状態を引き起こされる可能性があります。
状況によっては、任意のコードを実行される可能性があります。
|
[brcmfmac ドライバにパッチを適用する]
開発者が提供する情報をもとに、パッチを適用してください。
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、脆弱性の影響を軽減することが可能です。
*接続する Wi-Fi ネットワークは信頼できるものだけにする
|
Broadcom
|
|
- CVE-2019-9501
- CVE-2019-9502
- CVE-2019-9503
- CVE-2019-9500
|
- JVN : JVNVU#90663693
- National Vulnerability Database (NVD) : CVE-2019-9500
- National Vulnerability Database (NVD) : CVE-2019-9501
- National Vulnerability Database (NVD) : CVE-2019-9502
- National Vulnerability Database (NVD) : CVE-2019-9503
- US-CERT Vulnerability Note : VU#166939
- 関連文書 : Reverse-engineering Broadcom wireless chipsets
- 関連文書 : [PATCH 0/6] brcmfmac: smallish series
- 関連文書 : brcmfmac: add subtype check for event handling in data path
- 関連文書 : brcmfmac: assure SSID length from firmware is limited
|
|