ProHoster > Blog > internet nuus > hostapd en wpa_supplicant 2.10 vrystelling

hostapd en wpa_supplicant 2.10 vrystelling

Na 'n jaar en 'n half se ontwikkeling is die vrystelling van hostapd/wpa_supplicant 2.10 voorberei, 'n stel vir die bestuur van die IEEE 802.1X, WPA, WPA2, WPA3 en EAP draadlose protokolle, wat bestaan ​​uit die wpa_supplicant-toepassing om aan 'n draadlose netwerk te koppel as 'n kliënt en die hostapd-agtergrondproses vir die bestuur van die toegangspunt en 'n verifikasiebediener, insluitend komponente soos WPA Authenticator, RADIUS-verifikasiekliënt/bediener, EAP-bediener. Die bronkode van die projek word onder die BSD-lisensie versprei.

Benewens funksionele veranderinge, blokkeer die nuwe weergawe 'n nuwe sykanaal-aanvalsvektor wat die SAE (Simultaneous Authentication of Equals)-verbindingsonderhandelingsmetode en die EAP-pwd-protokol beïnvloed. 'n Aanvaller wat die vermoë het om onbevoorregte kode uit te voer op die stelsel van 'n gebruiker wat aan 'n draadlose netwerk koppel, kan, deur aktiwiteit op die stelsel te monitor, inligting oor die kenmerke van die wagwoord verkry en dit gebruik om wagwoordraai in vanlynmodus te vereenvoudig. Die probleem word veroorsaak deur die lekkasie deur derdeparty-kanale van inligting oor die kenmerke van die wagwoord, wat dit moontlik maak, gebaseer op indirekte data, soos veranderinge in vertragings tydens bedrywighede, om die korrektheid van die keuse van dele van die wagwoord in te verduidelik. die proses om dit te kies.

Anders as soortgelyke kwessies wat in 2019 opgelos is, word die nuwe kwesbaarheid veroorsaak deur die feit dat die eksterne kriptografiese primitiewe wat in die crypto_ec_point_solve_y_coord()-funksie gebruik word nie 'n konstante uitvoeringstyd verskaf het nie, ongeag die aard van die data wat verwerk word. Gebaseer op die ontleding van die gedrag van die verwerkerkas, kon 'n aanvaller wat die vermoë gehad het om onbevoorregte kode op dieselfde verwerkerkern uit te voer inligting verkry oor die vordering van wagwoordbewerkings in SAE/EAP-pwd. Die probleem raak alle weergawes van wpa_supplicant en hostapd saamgestel met ondersteuning vir SAE (CONFIG_SAE=y) en EAP-pwd (CONFIG_EAP_PWD=y).

Ander veranderinge in die nuwe vrystellings van hostapd en wpa_supplicant:

  • Bygevoeg die vermoë om te bou met die OpenSSL 3.0 kriptografiese biblioteek.
  • Die Beacon Protection-meganisme wat in die WPA3-spesifikasieopdatering voorgestel word, is geïmplementeer, ontwerp om te beskerm teen aktiewe aanvalle op die draadlose netwerk wat veranderinge in Beacon-rame manipuleer.
  • Bygevoeg ondersteuning vir DPP 2 (Wi-Fi Device Provisioning Protocol), wat die publieke sleutel-verifikasiemetode definieer wat in die WPA3-standaard gebruik word vir vereenvoudigde konfigurasie van toestelle sonder 'n koppelvlak op die skerm. Opstelling word uitgevoer met 'n ander meer gevorderde toestel wat reeds aan die draadlose netwerk gekoppel is. Parameters vir 'n IoT-toestel sonder 'n skerm kan byvoorbeeld vanaf 'n slimfoon ingestel word op grond van 'n momentopname van 'n QR-kode wat op die tas gedruk is;
  • Bygevoeg ondersteuning vir Uitgebreide Sleutel ID (IEEE 802.11-2016).
  • Ondersteuning vir die SAE-PK (SAE Openbare Sleutel)-sekuriteitsmeganisme is bygevoeg by die implementering van die SAE-verbindingsonderhandelingsmetode. 'n Modus vir onmiddellike stuur van bevestiging word geïmplementeer, geaktiveer deur die "sae_config_immediate=1" opsie, sowel as 'n hash-to-element meganisme, geaktiveer wanneer die sae_pwe parameter op 1 of 2 gestel is.
  • Die EAP-TLS-implementering het ondersteuning vir TLS 1.3 bygevoeg (by verstek gedeaktiveer).
  • Bygevoeg nuwe instellings (max_auth_rounds, max_auth_rounds_short) om die limiete op die aantal EAP-boodskappe tydens die stawingsproses te verander (veranderinge in limiete kan nodig wees wanneer baie groot sertifikate gebruik word).
  • Bygevoeg ondersteuning vir die PASN (Pre Association Security Negotiation) meganisme vir die vestiging van 'n veilige verbinding en die beskerming van die uitruil van beheerrame op 'n vroeëre verbindingstadium.
  • Die Transition Disable-meganisme is geïmplementeer, wat jou toelaat om die swerfmodus outomaties te deaktiveer, wat jou toelaat om tussen toegangspunte te wissel terwyl jy beweeg, om sekuriteit te verbeter.
  • Ondersteuning vir die WEP-protokol is uitgesluit van verstekbou (herbou met die CONFIG_WEP=y-opsie is nodig om WEP-ondersteuning terug te gee). Verwyder erfenisfunksie wat verband hou met Inter-Access Point Protocol (IAPP). Ondersteuning vir libnl 1.1 is gestaak. Bygevoeg bou-opsie CONFIG_NO_TKIP=y vir bouwerk sonder TKIP-ondersteuning.
  • Vaste kwesbaarhede in die UPnP-implementering (CVE-2020-12695), in die P2P/Wi-Fi Direct-hanteerder (CVE-2021-27803) en die PMF-beskermingsmeganisme (CVE-2019-16275).
  • Hostapd-spesifieke veranderinge sluit uitgebreide ondersteuning vir HEW (High-Efficiency Wireless, IEEE 802.11ax) draadlose netwerke in, insluitend die vermoë om die 6 GHz frekwensiereeks te gebruik.
  • Veranderinge spesifiek aan wpa_supplicant:
    • Bygevoeg ondersteuning vir toegangspuntmodusinstellings vir SAE (WPA3-Persoonlik).
    • P802.11P-modusondersteuning word geïmplementeer vir EDMG-kanale (IEEE 2ay).
    • Verbeterde deurvloeivoorspelling en BSS-keuse.
    • Die beheerkoppelvlak via D-Bus is uitgebrei.
    • 'n Nuwe agterkant is bygevoeg vir die stoor van wagwoorde in 'n aparte lêer, sodat jy sensitiewe inligting van die hoofkonfigurasielêer kan verwyder.
    • Bygevoeg nuwe beleide vir SCS, MSCS en DSCP.

Bron: opennet.ru

Voeg 'n opmerking