阿里云漏洞库

中危 EAP-pwd 加密问题漏洞（CVE-2022-23304）

CVE编号

CVE-2022-23304

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-01-17

漏洞描述

EAP-pwd是一种使用共享密码进行身份验证的 EAP 身份验证方法。

EAP-pwd 中存在加密问题漏洞，该漏洞源于产品的 hostapd 和 wpa supplicant 组件存在缓存访问模式错误。攻击者可通过该漏洞发起侧通道攻击。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://lists.fedoraproject.org

参考链接
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202309-16
https://w1.fi/security/2022-1/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	w1.fi	hostapd	*		Up to (excluding) 2.10
	运行在以下环境
	应用	w1.fi	wpa_supplicant	*		Up to (excluding) 2.10
	运行在以下环境
	系统	alpine_3.12	hostapd	*		Up to (excluding) 2.9-r4
	运行在以下环境
	系统	alpine_3.13	hostapd	*		Up to (excluding) 2.9-r4
	运行在以下环境
	系统	alpine_3.14	hostapd	*		Up to (excluding) 2.9-r4
	运行在以下环境
	系统	alpine_3.15	hostapd	*		Up to (excluding) 2.10-r0
	运行在以下环境
	系统	alpine_3.16	hostapd	*		Up to (excluding) 2.10-r0
	运行在以下环境
	系统	alpine_3.17	hostapd	*		Up to (excluding) 2.10-r0
	运行在以下环境
	系统	alpine_3.18	hostapd	*		Up to (excluding) 2.10-r0
	运行在以下环境
	系统	alpine_3.19	hostapd	*		Up to (excluding) 2.10-r0
	运行在以下环境
	系统	debian_12	wpa	*		Up to (excluding) 2.10-1
	运行在以下环境
	系统	fedora_35	hostapd	*		Up to (excluding) 2.10-3.fc35
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	wpa_supplicant	*		Up to (excluding) 2.6-30.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	wpa_supplicant	*		Up to (excluding) 2.6-30.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	wpa_supplicant	*		Up to (excluding) 2.6-30.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	wpa_supplicant	*		Up to (excluding) 2.6-30.ky10
	运行在以下环境
	系统	opensuse_Leap_15.3	wpa_supplicant	*		Up to (excluding) 2.9-4.33.1
	运行在以下环境
	系统	opensuse_Leap_15.4	wpa_supplicant	*		Up to (excluding) 2.9-4.33.1
	运行在以下环境
	系统	suse_12_SP5	wpa_supplicant	*		Up to (excluding) 2.9-23.15.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-203	通过差异性导致的信息暴露