古いwpa_supplicantバージョンはKRACKに対して脆弱ですか?
2.xより前のwpa_supplicantバージョン(0.2.x、0.4.x、0.6.x、0.7.3など)も、KRACK CVEのいずれかに対して脆弱ですか?私はソースコードを見てきましたが、2.xリリースとは十分に異なっているため、これらの古いリリースに同じ脆弱性があるかどうか、また効果的なパッチを開発するために何が必要かはすぐにはわかりません。
Mathy Vanhoefによる 公開された論文 から(私の強調):
4ウェイハンドシェイクに対する主要な再インストール攻撃により、wpa_supplicantの特別な動作が明らかになりました。まず、バージョン2.3以下は、予期しない副作用なしに攻撃に対して脆弱です。ただし、バージョン2.4および2.5では、再送信されたメッセージ3を受信すると、すべてゼロの暗号化キー(TK)がインストールされることがわかりました。
これと802.11iクライアント実装の欠陥の広範な性質に基づいて、私はそれらが脆弱であると信じがちです。しかし、私はそれらの特定のバージョンの実際のテストやそのステートメント以外の信頼できるドキュメントを見たことはありません。