بعد عام ونصف من التطوير، تم إعداد إصدار hostapd/wpa_supplicant 2.10، وهو مجموعة لتشغيل البروتوكولات اللاسلكية IEEE 802.1X وWPA وWPA2 وWPA3 وEAP، والتي تتكون من تطبيق wpa_supplicant للاتصال بشبكة لاسلكية. كعميل وعملية خلفية hostapd لتشغيل نقطة الوصول وخادم المصادقة، بما في ذلك المكونات مثل WPA Authenticator وعميل/خادم مصادقة RADIUS وخادم EAP. يتم توزيع الكود المصدري للمشروع بموجب ترخيص BSD.
بالإضافة إلى التغييرات الوظيفية، يحظر الإصدار الجديد ناقل هجوم القناة الجانبية الجديد الذي يؤثر على طريقة التفاوض على اتصال SAE (المصادقة المتزامنة للمساواة) وبروتوكول EAP-pwd. يمكن للمهاجم الذي لديه القدرة على تنفيذ تعليمات برمجية غير مميزة على نظام المستخدم المتصل بشبكة لاسلكية، من خلال مراقبة النشاط على النظام، الحصول على معلومات حول خصائص كلمة المرور واستخدامها لتبسيط تخمين كلمة المرور في وضع عدم الاتصال. ترجع المشكلة إلى تسرب معلومات حول خصائص كلمة المرور عبر قنوات خارجية، مما يسمح، بناءً على بيانات غير مباشرة، مثل التغييرات في التأخير أثناء العمليات، بتوضيح صحة اختيار أجزاء من كلمة المرور في عملية اختياره.
على عكس المشكلات المماثلة التي تم إصلاحها في عام 2019، ترجع الثغرة الأمنية الجديدة إلى حقيقة أن أساسيات التشفير الخارجية المستخدمة في وظيفة crypto_ec_point_solve_y_coord() لم توفر وقت تنفيذ ثابت، بغض النظر عن طبيعة البيانات التي تتم معالجتها. استنادًا إلى تحليل سلوك ذاكرة التخزين المؤقت للمعالج، يمكن للمهاجم الذي لديه القدرة على تشغيل تعليمات برمجية غير مميزة على نفس قلب المعالج الحصول على معلومات حول التقدم المحرز في عمليات كلمة المرور في SAE/EAP-pwd. تؤثر المشكلة على كافة إصدارات wpa_supplicant وhostapd المترجمة بدعم SAE (CONFIG_SAE=y) وEAP-pwd (CONFIG_EAP_PWD=y).
تغييرات أخرى في الإصدارات الجديدة من hostapd وwpa_supplicant:
- تمت إضافة القدرة على البناء باستخدام مكتبة التشفير OpenSSL 3.0.
- تم تنفيذ آلية حماية المنارة المقترحة في تحديث مواصفات WPA3، وهي مصممة للحماية من الهجمات النشطة على الشبكة اللاسلكية التي تعالج التغييرات في إطارات المنارة.
- تمت إضافة دعم لـ DPP 2 (بروتوكول توفير جهاز Wi-Fi)، الذي يحدد طريقة مصادقة المفتاح العام المستخدمة في معيار WPA3 للتكوين المبسط للأجهزة التي لا تحتوي على واجهة على الشاشة. يتم إجراء الإعداد باستخدام جهاز آخر أكثر تقدمًا متصل بالفعل بالشبكة اللاسلكية. على سبيل المثال، يمكن تعيين المعلمات لجهاز إنترنت الأشياء بدون شاشة من الهاتف الذكي بناءً على لقطة من رمز الاستجابة السريعة المطبوع على العلبة؛
- تمت إضافة دعم لمعرف المفتاح الموسع (IEEE 802.11-2016).
- تمت إضافة دعم آلية أمان SAE-PK (SAE Public Key) إلى تنفيذ طريقة التفاوض على اتصال SAE. يتم تنفيذ وضع لإرسال التأكيد على الفور، ويتم تمكينه بواسطة خيار "sae_config_immediate=1"، بالإضافة إلى آلية التجزئة إلى العنصر، التي يتم تمكينها عند تعيين المعلمة sae_pwe على 1 أو 2.
- أضاف تطبيق EAP-TLS دعمًا لـ TLS 1.3 (معطل افتراضيًا).
- تمت إضافة إعدادات جديدة (max_auth_rounds، max_auth_rounds_short) لتغيير الحدود على عدد رسائل EAP أثناء عملية المصادقة (قد تكون التغييرات في الحدود مطلوبة عند استخدام شهادات كبيرة جدًا).
- تمت إضافة دعم لآلية PASN (التفاوض الأمني قبل الارتباط) لإنشاء اتصال آمن وحماية تبادل إطارات التحكم في مرحلة اتصال سابقة.
- تم تنفيذ آلية Transition Disable، والتي تتيح لك تعطيل وضع التجوال تلقائيًا، مما يسمح لك بالتبديل بين نقاط الوصول أثناء تنقلك، لتعزيز الأمان.
- يتم استبعاد دعم بروتوكول WEP من الإصدارات الافتراضية (يلزم إعادة البناء باستخدام الخيار CONFIG_WEP=y لإرجاع دعم WEP). تمت إزالة الوظائف القديمة المتعلقة ببروتوكول Inter-Access Point (IAPP). تم إيقاف دعم libnl 1.1. تمت إضافة خيار البناء CONFIG_NO_TKIP=y للإصدارات التي لا تدعم TKIP.
- تم إصلاح الثغرات الأمنية في تنفيذ UPnP (CVE-2020-12695)، وفي معالج P2P/Wi-Fi Direct (CVE-2021-27803)، وآلية حماية PMF (CVE-2019-16275).
- تتضمن التغييرات الخاصة بـ Hostapd دعمًا موسعًا لشبكات HEW (لاسلكية عالية الكفاءة، IEEE 802.11ax)، بما في ذلك القدرة على استخدام نطاق التردد 6 جيجا هرتز.
- التغييرات الخاصة بـ wpa_supplicant:
- تمت إضافة دعم لإعدادات وضع نقطة الوصول لـ SAE (WPA3-Personal).
- يتم تنفيذ دعم وضع P802.11P لقنوات EDMG (IEEE 2ay).
- تحسين التنبؤ بالإنتاجية واختيار BSS.
- تم توسيع واجهة التحكم عبر D-Bus.
- تمت إضافة واجهة خلفية جديدة لتخزين كلمات المرور في ملف منفصل، مما يسمح لك بإزالة المعلومات الحساسة من ملف التكوين الرئيسي.
- تمت إضافة سياسات جديدة لـ SCS وMSCS وDSCP.
المصدر: opennet.ru