ProHoster > blog > newyddion rhyngrwyd > hostapd a wpa_supplicant 2.10 rhyddhau

hostapd a wpa_supplicant 2.10 rhyddhau

Ar Γ΄l blwyddyn a hanner o ddatblygiad, mae rhyddhau hostapd/wpa_supplicant 2.10 wedi'i baratoi, set ar gyfer rhedeg protocolau diwifr IEEE 802.1X, WPA, WPA2, WPA3 ac EAP, sy'n cynnwys y cymhwysiad wpa_supplicant ar gyfer cysylltu Γ’ rhwydwaith diwifr. fel cleient a'r broses gefndir hostapd ar gyfer rhedeg y pwynt mynediad a gweinydd dilysu, gan gynnwys cydrannau fel WPA Authenticator, cleient/gweinydd dilysu RADIUS, gweinydd EAP. Mae cod ffynhonnell y prosiect yn cael ei ddosbarthu o dan y drwydded BSD.

Yn ogystal Γ’ newidiadau swyddogaethol, mae'r fersiwn newydd yn blocio fector ymosodiad ochr-sianel newydd sy'n effeithio ar ddull trafod cysylltiad SAE (Dilysu Cydraddol ar y Cyd) a'r protocol EAP-pwd. Gall ymosodwr sydd Γ’'r gallu i weithredu cod difreintiedig ar system defnyddiwr sy'n cysylltu Γ’ rhwydwaith diwifr, trwy fonitro gweithgaredd ar y system, gael gwybodaeth am nodweddion y cyfrinair a'i ddefnyddio i symleiddio dyfalu cyfrinair yn y modd all-lein. Mae'r broblem yn cael ei achosi gan y gollyngiad trwy sianeli trydydd parti o wybodaeth am nodweddion y cyfrinair, sy'n caniatΓ‘u, yn seiliedig ar ddata anuniongyrchol, megis newidiadau mewn oedi yn ystod gweithrediadau, i egluro cywirdeb y dewis o rannau o'r cyfrinair yn y broses o'i ddewis.

Yn wahanol i faterion tebyg a osodwyd yn 2019, mae'r bregusrwydd newydd yn cael ei achosi gan y ffaith nad oedd y cyntefigau cryptograffig allanol a ddefnyddiwyd yn y swyddogaeth crypto_ec_point_solve_y_coord() yn darparu amser gweithredu cyson, waeth beth fo natur y data sy'n cael ei brosesu. Yn seiliedig ar y dadansoddiad o ymddygiad storfa'r prosesydd, gallai ymosodwr a oedd Γ’'r gallu i redeg cod difreintiedig ar yr un craidd prosesydd gael gwybodaeth am gynnydd gweithrediadau cyfrinair yn SAE / EAP-pwd. Mae'r broblem yn effeithio ar bob fersiwn o wpa_supplicant a hostapd a luniwyd gyda chefnogaeth ar gyfer SAE (CONFIG_SAE=y) ac EAP-pwd (CONFIG_EAP_PWD=y).

Newidiadau eraill yn y datganiadau newydd o hostapd a wpa_supplicant:

  • Ychwanegwyd y gallu i adeiladu gyda llyfrgell cryptograffig OpenSSL 3.0.
  • Mae'r mecanwaith Gwarchod Beacon a gynigiwyd yn y diweddariad o fanyleb WPA3 wedi'i roi ar waith, wedi'i gynllunio i amddiffyn rhag ymosodiadau gweithredol ar y rhwydwaith diwifr sy'n trin newidiadau mewn fframiau Beacon.
  • Cefnogaeth ychwanegol i DPP 2 (Protocol Darparu Dyfeisiau Wi-Fi), sy'n diffinio'r dull dilysu allwedd cyhoeddus a ddefnyddir yn safon WPA3 ar gyfer cyfluniad symlach o ddyfeisiau heb ryngwyneb ar y sgrin. Gwneir y gosodiad gan ddefnyddio dyfais fwy datblygedig arall sydd eisoes wedi'i chysylltu Γ’'r rhwydwaith diwifr. Er enghraifft, gellir gosod paramedrau ar gyfer dyfais IoT heb sgrin o ffΓ΄n clyfar yn seiliedig ar giplun o god QR wedi'i argraffu ar yr achos;
  • Cefnogaeth ychwanegol ar gyfer ID Allwedd Estynedig (IEEE 802.11-2016).
  • Mae cefnogaeth i fecanwaith diogelwch SAE-PK (SAE Public Key) wedi'i ychwanegu at weithredu'r dull trafod cysylltiad SAE. Gweithredir modd ar gyfer anfon cadarnhad ar unwaith, wedi'i alluogi gan yr opsiwn "sae_config_immediate=1", yn ogystal Γ’ mecanwaith hash-i-elfen, wedi'i alluogi pan fydd y paramedr sae_pwe wedi'i osod i 1 neu 2.
  • Mae gweithrediad EAP-TLS wedi ychwanegu cefnogaeth i TLS 1.3 (anabl yn ddiofyn).
  • Ychwanegwyd gosodiadau newydd (max_auth_rounds, max_auth_rounds_short) i newid y terfynau ar nifer y negeseuon EAP yn ystod y broses ddilysu (efallai y bydd angen newid terfynau wrth ddefnyddio tystysgrifau mawr iawn).
  • Cefnogaeth ychwanegol i fecanwaith PASN (Trafodaeth Diogelwch Cyn Cymdeithas) ar gyfer sefydlu cysylltiad diogel a diogelu'r broses o gyfnewid fframiau rheoli ar gam cysylltu cynharach.
  • Mae'r mecanwaith Transition Disable wedi'i roi ar waith, sy'n eich galluogi i analluogi modd crwydro'n awtomatig, sy'n eich galluogi i newid rhwng pwyntiau mynediad wrth i chi symud, i wella diogelwch.
  • Mae cefnogaeth i brotocol WEP wedi'i eithrio o adeiladau rhagosodedig (mae angen ailadeiladu gyda'r opsiwn CONFIG_WEP=y i ddychwelyd cefnogaeth WEP). Dileu swyddogaethau etifeddiaeth sy'n ymwneud Γ’ Phrotocol Pwynt Rhyng-Mynediad (IAPP). Mae cefnogaeth i libnl 1.1 wedi dod i ben. Ychwanegwyd opsiwn adeiladu CONFIG_NO_TKIP=y ar gyfer adeiladau heb gefnogaeth TKIP.
  • Gwendidau sefydlog wrth weithredu UPnP (CVE-2020-12695), yn y triniwr P2P / Wi-Fi Direct (CVE-2021-27803) ac yn y mecanwaith amddiffyn PMF (CVE-2019-16275).
  • Mae newidiadau penodol i Hostapd yn cynnwys cefnogaeth estynedig ar gyfer rhwydweithiau diwifr HEW (Diwifr Effeithlonrwydd Uchel, IEEE 802.11ax), gan gynnwys y gallu i ddefnyddio'r ystod amledd 6 GHz.
  • Newidiadau sy'n benodol i wpa_supplicant:
    • Cefnogaeth ychwanegol ar gyfer gosodiadau modd pwynt mynediad ar gyfer SAE (WPA3-Personol).
    • Gweithredir cefnogaeth modd P802.11P ar gyfer sianeli EDMG (IEEE 2ay).
    • Gwell rhagfynegiad trwybwn a dewis BSS.
    • Mae'r rhyngwyneb rheoli trwy D-Bus wedi'i ehangu.
    • Mae Γ΄l-Γ΄l newydd wedi'i ychwanegu ar gyfer storio cyfrineiriau mewn ffeil ar wahΓ’n, sy'n eich galluogi i dynnu gwybodaeth gyfrinachol o'r brif ffeil ffurfweddu.
    • Ychwanegwyd polisΓ―au newydd ar gyfer SCS, MSCS a DSCP.

Ffynhonnell: opennet.ru

Ychwanegu sylw