Po roce a půl vývoje je připraveno vydání hostapd/wpa_supplicant 2.10, sady pro provozování bezdrátových protokolů IEEE 802.1X, WPA, WPA2, WPA3 a EAP, sestávající z aplikace wpa_supplicant pro připojení k bezdrátové síti. jako klienta a proces na pozadí hostapd pro provoz přístupového bodu a ověřovacího serveru, včetně komponent, jako je WPA Authenticator, ověřovací klient/server RADIUS, server EAP. Zdrojový kód projektu je distribuován pod licencí BSD.
Kromě funkčních změn blokuje nová verze nový vektor útoku postranním kanálem ovlivňující metodu vyjednávání spojení SAE (Simultaneous Authentication of Equals) a protokol EAP-pwd. Útočník, který má schopnost spustit neprivilegovaný kód v systému uživatele připojujícího se k bezdrátové síti, může sledováním aktivity v systému získat informace o vlastnostech hesla a použít je ke zjednodušení hádání hesla v režimu offline. Problém je způsoben únikem informací o vlastnostech hesla prostřednictvím kanálů třetích stran, což umožňuje na základě nepřímých údajů, jako jsou změny zpoždění během operací, objasnit správnost výběru částí hesla v proces jeho výběru.
Na rozdíl od podobných problémů opravených v roce 2019 je nová zranitelnost způsobena skutečností, že externí kryptografická primitiva použitá ve funkci crypto_ec_point_solve_y_coord() neposkytovala konstantní dobu provádění bez ohledu na povahu zpracovávaných dat. Na základě analýzy chování mezipaměti procesoru mohl útočník, který měl možnost spouštět neprivilegovaný kód na stejném jádře procesoru, získat informace o průběhu operací s hesly v SAE/EAP-pwd. Problém se týká všech verzí wpa_supplicant a hostapd zkompilovaných s podporou SAE (CONFIG_SAE=y) a EAP-pwd (CONFIG_EAP_PWD=y).
Další změny v nových vydáních hostapd a wpa_supplicant:
- Přidána možnost vytvářet s kryptografickou knihovnou OpenSSL 3.0.
- Byl implementován mechanismus ochrany Beacon, navržený v aktualizaci specifikace WPA3, navržený k ochraně před aktivními útoky na bezdrátovou síť, které manipulují se změnami v rámcích Beacon.
- Přidána podpora pro DPP 2 (Wi-Fi Device Provisioning Protocol), který definuje metodu ověřování veřejným klíčem používanou ve standardu WPA3 pro zjednodušenou konfiguraci zařízení bez rozhraní na obrazovce. Nastavení se provádí pomocí jiného pokročilejšího zařízení, které je již připojeno k bezdrátové síti. Například parametry pro IoT zařízení bez obrazovky lze nastavit ze smartphonu na základě snímku QR kódu vytištěného na pouzdru;
- Přidána podpora pro Extended Key ID (IEEE 802.11-2016).
- Do implementace metody vyjednávání spojení SAE byla přidána podpora bezpečnostního mechanismu SAE-PK (SAE Public Key). Je implementován režim pro okamžité odeslání potvrzení, který je povolen volbou „sae_config_immediate=1“, a také mechanismus hash-to-element, který je povolen, když je parametr sae_pwe nastaven na 1 nebo 2.
- Implementace EAP-TLS přidala podporu pro TLS 1.3 (ve výchozím nastavení zakázáno).
- Přidána nová nastavení (max_auth_rounds, max_auth_rounds_short) pro změnu limitů počtu zpráv EAP během procesu ověřování (při použití velmi velkých certifikátů mohou být vyžadovány změny limitů).
- Přidána podpora pro mechanismus PASN (Pre Association Security Negotiation) pro vytvoření zabezpečeného připojení a ochranu výměny řídicích rámců v dřívější fázi připojení.
- Byl implementován mechanismus Transition Disable, který vám umožňuje automaticky deaktivovat režim roamingu, který vám umožňuje přepínat mezi přístupovými body při pohybu, aby se zvýšila bezpečnost.
- Podpora protokolu WEP je vyloučena z výchozích sestavení (k obnovení podpory WEP je nutné opětovné sestavení s volbou CONFIG_WEP=y). Odebrána starší funkce související s protokolem Inter-Access Point Protocol (IAPP). Podpora pro libnl 1.1 byla ukončena. Přidána možnost sestavení CONFIG_NO_TKIP=y pro sestavení bez podpory TKIP.
- Opravené chyby zabezpečení v implementaci UPnP (CVE-2020-12695), v obslužném programu P2P/Wi-Fi Direct (CVE-2021-27803) a ochranném mechanismu PMF (CVE-2019-16275).
- Změny specifické pro Hostapd zahrnují rozšířenou podporu bezdrátových sítí HEW (High-Efficiency Wireless, IEEE 802.11ax), včetně možnosti využívat frekvenční rozsah 6 GHz.
- Změny specifické pro wpa_supplicant:
- Přidána podpora pro nastavení režimu přístupového bodu pro SAE (WPA3-Personal).
- Podpora režimu P802.11P je implementována pro kanály EDMG (IEEE 2ay).
- Vylepšená predikce propustnosti a výběr BSS.
- Bylo rozšířeno ovládací rozhraní přes D-Bus.
- Byl přidán nový backend pro ukládání hesel v samostatném souboru, což vám umožňuje odstranit citlivé informace z hlavního konfiguračního souboru.
- Přidány nové zásady pro SCS, MSCS a DSCP.
Zdroj: opennet.ru