ProHoster > Блог > balita sa internet > hostapd ug wpa_supplicant 2.10 release

hostapd ug wpa_supplicant 2.10 release

Pagkahuman sa usa ka tuig ug tunga nga pag-uswag, giandam na ang pagpagawas sa hostapd/wpa_supplicant 2.10, usa ka set alang sa pagpadagan sa IEEE 802.1X, WPA, WPA2, WPA3 ug EAP wireless protocol, nga gilangkuban sa wpa_supplicant nga aplikasyon alang sa pagkonektar sa usa ka wireless network isip usa ka kliyente ug ang proseso sa background sa hostapd alang sa pagpadagan sa access point ug usa ka authentication server, lakip ang mga sangkap sama sa WPA Authenticator, RADIUS authentication client/server, EAP server. Ang source code sa proyekto giapod-apod ubos sa lisensya sa BSD.

Dugang sa functional nga mga kausaban, ang bag-ong bersyon nag-block sa usa ka bag-ong side-channel attack vector nga nakaapekto sa SAE (Simultaneous Authentication of Equals) nga pamaagi sa negosasyon sa koneksyon ug sa EAP-pwd protocol. Ang usa ka tig-atake nga adunay katakus sa pagpatuman sa dili pribilihiyo nga code sa sistema sa usa ka tiggamit nga nagkonektar sa usa ka wireless network mahimo, pinaagi sa pag-monitor sa kalihokan sa sistema, makakuha og kasayuran bahin sa mga kinaiya sa password ug magamit kini aron mapasimple ang pagtag-an sa password sa offline mode. Ang problema tungod sa leakage pinaagi sa ikatulo nga-partido channels sa impormasyon mahitungod sa mga kinaiya sa password, nga nagtugot, base sa dili direkta nga data, sama sa mga kausaban sa mga paglangan sa panahon sa operasyon, sa pagpatin-aw sa pagkahusto sa pagpili sa mga bahin sa password sa ang proseso sa pagpili niini.

Dili sama sa parehas nga mga isyu nga naayos sa 2019, ang bag-ong pagkahuyang tungod sa kamatuoran nga ang mga eksternal nga cryptographic primitives nga gigamit sa crypto_ec_point_solve_y_coord() function wala maghatag kanunay nga oras sa pagpatuman, bisan unsa pa ang kinaiyahan sa data nga giproseso. Pinasukad sa pag-analisar sa pamatasan sa cache sa processor, ang usa ka tig-atake nga adunay katakus sa pagpadagan sa wala’y pribilehiyo nga code sa parehas nga core sa processor makakuha og kasayuran bahin sa pag-uswag sa mga operasyon sa password sa SAE / EAP-pwd. Ang problema makaapekto sa tanan nga mga bersyon sa wpa_supplicant ug hostapd nga giipon uban ang suporta alang sa SAE (CONFIG_SAE=y) ug EAP-pwd (CONFIG_EAP_PWD=y).

Uban pang mga pagbag-o sa bag-ong pagpagawas sa hostapd ug wpa_supplicant:

  • Gidugang ang abilidad sa pagtukod gamit ang OpenSSL 3.0 cryptographic library.
  • Ang mekanismo sa Proteksyon sa Beacon nga gisugyot sa pag-update sa espesipikasyon sa WPA3 gipatuman, gidesinyo aron mapanalipdan batok sa mga aktibo nga pag-atake sa wireless network nga nagmaniobra sa mga pagbag-o sa mga frame sa Beacon.
  • Gidugang nga suporta alang sa DPP 2 (Wi-Fi Device Provisioning Protocol), nga naghubit sa paagi sa panghimatuud nga yawe sa publiko nga gigamit sa sumbanan sa WPA3 alang sa gipasimple nga pag-configure sa mga aparato nga wala’y on-screen interface. Ang pag-setup gihimo gamit ang lain nga mas advanced nga aparato nga konektado na sa wireless network. Pananglitan, ang mga parameter alang sa IoT device nga walay screen mahimong itakda gikan sa usa ka smartphone base sa snapshot sa QR code nga giimprinta sa kaso;
  • Gidugang nga suporta alang sa Extended Key ID (IEEE 802.11-2016).
  • Ang suporta alang sa mekanismo sa seguridad sa SAE-PK (SAE Public Key) gidugang sa pagpatuman sa pamaagi sa negosasyon sa koneksyon sa SAE. Ang usa ka paagi alang sa pagpadala dayon sa kumpirmasyon gipatuman, nga gipagana sa "sae_config_immediate=1" nga kapilian, ingon man usa ka mekanismo sa hash-to-element, nga mahimo kung ang parameter sae_pwe gibutang sa 1 o 2.
  • Ang pagpatuman sa EAP-TLS adunay dugang nga suporta alang sa TLS 1.3 (gipugngan sa default).
  • Gidugang ang bag-ong mga setting (max_auth_rounds, max_auth_rounds_short) aron mabag-o ang mga limitasyon sa gidaghanon sa mga mensahe sa EAP sa panahon sa proseso sa pag-authenticate (mga pagbag-o sa mga limitasyon mahimo’g kinahanglan kung mogamit mga dagkong sertipiko).
  • Gidugang nga suporta alang sa PASN (Pre Association Security Negotiation) nga mekanismo alang sa pag-establisar sa usa ka luwas nga koneksyon ug pagpanalipod sa pagbayloay sa mga control frame sa mas sayo nga yugto sa koneksyon.
  • Gipatuman ang mekanismo sa Transition Disable, nga nagtugot kanimo sa awtomatikong pag-disable sa roaming mode, nga nagtugot kanimo sa pagbalhin tali sa mga access point samtang ikaw molihok, aron mapalambo ang seguridad.
  • Ang suporta alang sa WEP protocol wala iapil sa default build (pagtukod pag-usab gamit ang CONFIG_WEP=y nga opsyon gikinahanglan aron mabalik ang suporta sa WEP). Gitangtang ang legacy functionality nga may kalabutan sa Inter-Access Point Protocol (IAPP). Ang suporta alang sa libnl 1.1 gihunong na. Gidugang nga kapilian sa pagtukod CONFIG_NO_TKIP=y alang sa mga pagtukod nga wala’y suporta sa TKIP.
  • Giayo ang mga kahuyangan sa pagpatuman sa UPnP (CVE-2020-12695), sa P2P/Wi-Fi Direct handler (CVE-2021-27803) ug sa mekanismo sa pagpanalipod sa PMF (CVE-2019-16275).
  • Ang mga pagbag-o nga piho sa Hostapd naglakip sa gipalapdan nga suporta alang sa HEW (High-Efficiency Wireless, IEEE 802.11ax) nga wireless network, lakip ang abilidad sa paggamit sa 6 GHz frequency range.
  • Mga kausaban nga espesipiko sa wpa_supplicant:
    • Gidugang nga suporta alang sa mga setting sa access point mode para sa SAE (WPA3-Personal).
    • Ang suporta sa P802.11P mode gipatuman alang sa mga channel sa EDMG (IEEE 2ay).
    • Gipauswag nga pagtagna sa throughput ug pagpili sa BSS.
    • Ang control interface pinaagi sa D-Bus gipalapdan.
    • Usa ka bag-ong backend ang gidugang alang sa pagtipig sa mga password sa usa ka separado nga file, nga nagtugot kanimo sa pagtangtang sa sensitibo nga impormasyon gikan sa nag-unang configuration file.
    • Gidugang bag-ong mga palisiya alang sa SCS, MSCS ug DSCP.

Source: opennet.ru

Idugang sa usa ka comment