Hintergrund:
Am 10. April 2019 haben Forscher mehrere Schwachstellen entdeckt, die die Authentifizierung für Drahtlosnetzwerke betrifft. Diese Schwachstellen beschreiben eine Reihe von Auswirkungen, von der Erschöpfung der Ressourcen an drahtlosen Zugangspunkten über die Herabstufung der Verschlüsselungsstärke zu Abstürzen.
Zum Zeitpunkt führt eero keine WPA3- oder EAP-pwd-Authentifizierung für Geräte aus, so dass die meisten der offenbarten Schwachstellen keine Auswirkungen auf eero-Netzwerke haben.
eero-Netzwerke verwenden eine Komponente der WPA3-Authentifizierung namens SAE, wenn diese das Meshnetzwerk untereinander aufbauen. SAE war einem Angriff auf die Ressourcenerschöpfung, der in einigen Fällen die Meshimplementierung von eero beeinträchtigen könnte, und eine gemeinsame Ausführung von SAE enthielt, einer Schwachstelle im Zusammenhang mit der staatlichen Validierung ausgesetzt. eero-Netzwerke wurden ausgebessert, um Kunden vor beiden Problemen zu schützen, bevor diese Nachricht veröffentlicht wurde.
Schwachstellen-ID |
Name |
Ist eero betroffen? |
CVE-2019-9494 |
SAE cache attack against ECC groups |
Nein |
CVE-2019-9495 |
EAP-pwd cache attack against ECC groups |
Nein |
CVE-2019-9496 |
SAE confirm missing state validation |
Ausgebessert |
CVE-2019-9497 |
EAP-pwd missing commit validation (reflection attack) |
Nein |
CVE-2019-9498 |
EAP-pwd missing commit validation - network impact |
Nein |
CVE-2019-9499 |
EAP-pwd missing commit validation - rogue AP |
Nein |
Ausbesserungen für eero-Kunden wurden in eeroOS v3.12.1 automatisch übernommen. Um zu bestätigen, ob Ihr Netzwerk ausgebessert ist oder nicht, lesen Sie bitte diesen Artikel.