ProHoster > Blog > internet nyheder > hostapd og wpa_supplicant 2.10 udgivelse

hostapd og wpa_supplicant 2.10 udgivelse

Efter halvandet års udvikling er udgivelsen af ​​hostapd/wpa_supplicant 2.10 blevet forberedt, et sæt til at understøtte de trådløse protokoller IEEE 802.1X, WPA, WPA2, WPA3 og EAP, bestående af wpa_supplicant-applikationen til at oprette forbindelse til et trådløst netværk som en klient og hostapd-baggrundsprocessen for at levere drift af adgangspunktet og en godkendelsesserver, herunder komponenter såsom WPA Authenticator, RADIUS-godkendelsesklient/server, EAP-server. Kildekoden til projektet distribueres under BSD-licensen.

Ud over funktionelle ændringer blokerer den nye version en ny side-kanal angrebsvektor, der påvirker SAE (Simultaneous Authentication of Equals) forbindelsesforhandlingsmetoden og EAP-pwd protokollen. En angriber, der har evnen til at udføre uprivilegeret kode på systemet af en bruger, der opretter forbindelse til et trådløst netværk, kan ved at overvåge aktiviteten på systemet få oplysninger om adgangskodekarakteristika og bruge dem til at forenkle adgangskodegætning i offlinetilstand. Problemet er forårsaget af lækage gennem tredjepartskanaler af information om adgangskodens egenskaber, som gør det muligt, baseret på indirekte data, såsom ændringer i forsinkelser under driften, at afklare rigtigheden af ​​valget af dele af adgangskoden i processen med at vælge det.

I modsætning til lignende problemer, der blev rettet i 2019, er den nye sårbarhed forårsaget af det faktum, at de eksterne kryptografiske primitiver, der blev brugt i crypto_ec_point_solve_y_coord()-funktionen ikke gav en konstant eksekveringstid, uanset arten af ​​de data, der behandles. Baseret på analysen af ​​processorcachens opførsel kunne en angriber, der havde evnen til at køre uprivilegeret kode på den samme processorkerne, få information om status for adgangskodeoperationer i SAE/EAP-pwd. Problemet påvirker alle versioner af wpa_supplicant og hostapd, der er kompileret med understøttelse af SAE (CONFIG_SAE=y) og EAP-pwd (CONFIG_EAP_PWD=y).

Andre ændringer i de nye udgivelser af hostapd og wpa_supplicant:

  • Tilføjet muligheden for at bygge med OpenSSL 3.0 kryptografiske bibliotek.
  • Beacon Protection-mekanismen foreslået i WPA3-specifikationsopdateringen er blevet implementeret, designet til at beskytte mod aktive angreb på det trådløse netværk, der manipulerer ændringer i Beacon-rammer.
  • Tilføjet understøttelse af DPP 2 (Wi-Fi Device Provisioning Protocol), som definerer den offentlige nøglegodkendelsesmetode, der bruges i WPA3-standarden til forenklet konfiguration af enheder uden en skærmgrænseflade. Opsætningen udføres med en anden mere avanceret enhed, der allerede er tilsluttet det trådløse netværk. For eksempel kan parametre for en IoT-enhed uden skærm indstilles fra en smartphone baseret på et snapshot af en QR-kode trykt på etuiet;
  • Tilføjet understøttelse af Extended Key ID (IEEE 802.11-2016).
  • Understøttelse af SAE-PK (SAE Public Key) sikkerhedsmekanismen er blevet tilføjet til implementeringen af ​​SAE-forbindelsesforhandlingsmetoden. En tilstand til øjeblikkelig afsendelse af bekræftelse er implementeret, aktiveret af "sae_config_immediate=1" muligheden, samt en hash-til-element mekanisme, aktiveret, når sae_pwe parameteren er sat til 1 eller 2.
  • EAP-TLS-implementeringen har tilføjet understøttelse af TLS 1.3 (deaktiveret som standard).
  • Tilføjet nye indstillinger (max_auth_rounds, max_auth_rounds_short) for at ændre grænserne for antallet af EAP-meddelelser under godkendelsesprocessen (ændringer i grænser kan være påkrævet ved brug af meget store certifikater).
  • Tilføjet understøttelse af PASN-mekanismen (Pre Association Security Negotiation) til at etablere en sikker forbindelse og beskytte udvekslingen af ​​kontrolrammer på et tidligere forbindelsestrin.
  • Transition Disable-mekanismen er blevet implementeret, som giver dig mulighed for automatisk at deaktivere roamingtilstand, som giver dig mulighed for at skifte mellem adgangspunkter, mens du bevæger dig, for at øge sikkerheden.
  • Understøttelse af WEP-protokollen er udelukket fra standardbuilds (genopbygning med CONFIG_WEP=y-indstillingen er påkrævet for at returnere WEP-understøttelse). Fjernet ældre funktionalitet relateret til Inter-Access Point Protocol (IAPP). Support til libnl 1.1 er afbrudt. Tilføjet build-indstilling CONFIG_NO_TKIP=y for builds uden TKIP-understøttelse.
  • Rettede sårbarheder i UPnP-implementeringen (CVE-2020-12695), i P2P/Wi-Fi Direct-handleren (CVE-2021-27803) og i PMF-beskyttelsesmekanismen (CVE-2019-16275).
  • Hostapd-specifikke ændringer omfatter udvidet understøttelse af trådløse HEW-netværk (High-Efficiency Wireless, IEEE 802.11ax), inklusive muligheden for at bruge 6 GHz-frekvensområdet.
  • Ændringer, der er specifikke for wpa_supplicant:
    • Tilføjet understøttelse af adgangspunkttilstandsindstillinger for SAE (WPA3-Personal).
    • Understøttelse af P802.11P-tilstand er implementeret for EDMG-kanaler (IEEE 2ay).
    • Forbedret gennemløbsforudsigelse og BSS-valg.
    • Styregrænsefladen via D-Bus er blevet udvidet.
    • En ny backend er blevet tilføjet til lagring af adgangskoder i en separat fil, så du kan fjerne følsomme oplysninger fra hovedkonfigurationsfilen.
    • Tilføjet nye politikker for SCS, MSCS og DSCP.

Kilde: opennet.ru

Tilføj en kommentar