Hatena::Groupptech

ぷちてく RSSフィード

Archive
 
ProfileProfile

2017-10-17

UbuntuにKRACKsパッチあてた

17:59

Key Reinstallation Attacks : WPA2の脆弱性問題。詳しくはこのへん。

https://www.krackattacks.com/images/logo.png


Ubuntuでは wpa_supplicant / wpasupplicant あたり。公式ガイドは、

Update instructions

The problem can be corrected by updating your system to the following package version:

<snip>

To update your system, please follow these instructions: https://wiki.ubuntu.com/Security/Upgrades.

After a standard system update you need to reboot your computer to make all the necessary changes.

USN-3455-1: wpa_supplicant and hostapd vulnerabilities | Ubuntu

雑に言うと「アップデートしてすぐ再起動しろ」と言ってる。パッケージ更新だけではだめ。中身はUbuntuというか、ほぼDebianパッチだった。以下からどうぞ。


Ubuntu 16.04.3 LTS Xenial でアップデートかけたらそれらしい修正が来てたのでログ置いておく。

まず普通にアップデート

$ sudo apt update && sudo apt upgrade
#<snip>
The following packages will be upgraded:
  dkms wpasupplicant
  2 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
  Need to get 1,053 kB of archives. After unpacking 4,096 B will be used.

"wpasupplicant" を見て「ぽいな」と思う。黙ってインストール

入れた後Changelogをチェック。

$ apt changelog wpasupplicant
Get:1 http://changelogs.ubuntu.com wpa 2.4-0ubuntu6.2 Changelog [117 kB]
Fetched 117 kB in 1s (78.8 kB/s)
wpa (2.4-0ubuntu6.2) xenial-security; urgency=medium

  * SECURITY UPDATE: Multiple issues in WPA protocol
    - debian/patches/2017-1/*.patch: Add patches from Debian stretch
    - CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080,
      CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087,
      CVE-2017-13088
  * SECURITY UPDATE: Denial of service issues
    - debian/patches/2016-1/*.patch: Add patches from Debian stretch
    - CVE-2016-4476
    - CVE-2016-4477
  * This package does _not_ contain the changes from 2.4-0ubuntu6.1 in
    xenial-proposed.

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Mon, 16 Oct 2017 07:58:48 -0400

やはりビンゴの模様。"* This package does _not_ contain the changes from 2.4-0ubuntu6.1 in xenial-proposed." が多少気になる。

systemdでステータスを見る。 wpa<Tab> と補完したら、 wpa_supplicant という名前で出てきた。

$ systemctl status wpa_supplicant.service
● wpa_supplicant.service - WPA supplicant
   Loaded: loaded (/lib/systemd/system/wpa_supplicant.service; disabled; vendor preset: enabled)
   Active: active (running) since Thu 2017-10-12 06:28:39 JST; 5 days ago
 Main PID: 958 (wpa_supplicant)
   CGroup: /system.slice/wpa_supplicant.service
           └─958 /sbin/wpa_supplicant -u -s -O /run/wpa_supplicant

#<snip>
Warning: wpa_supplicant.service changed on disk. Run 'systemctl daemon-reload' to reload units.
$

"systemctl daemon-reload" でリロードしろと警告が出ているので従う。

リロードかける。

$ systemctl daemon-reload

何も出ないで終了。

再度ステータスをチェック。

$ systemctl status wpa_supplicant.service
● wpa_supplicant.service - WPA supplicant
   Loaded: loaded (/lib/systemd/system/wpa_supplicant.service; disabled; vendor preset: enabled)
   Active: active (running) since Thu 2017-10-12 06:28:39 JST; 5 days ago
 Main PID: 958 (wpa_supplicant)
   CGroup: /system.slice/wpa_supplicant.service
           └─958 /sbin/wpa_supplicant -u -s -O /run/wpa_supplicant

#<snip>
$

Warningが消えたのでよしとしたけど、本当は systemctl restart した方がいいのかもしれない。

その後サービス再起動

$ sudo systemctl restart wpa_supplicant.service

データ保存後マシンrebootした。

Ubuntuのurgency表記、ほぼ urgency=medium なので意味ないと思う。

トラックバック - http://ptech.g.hatena.ne.jp/noromanba/20171017