Veröffentlichung von hostapd und wpa_supplicant 2.10.

Nach anderthalb Jahren Entwicklung wurde die Version 2.10 von hostapd/wpa_supplicant veröffentlicht. Dieses Set unterstützt die Funktionen der drahtlosen Protokolle IEEE 802.1X, WPA, WPA2, WPA3 und EAP. Es besteht aus der Anwendung wpa_supplicant, die als Client eine Verbindung zu drahtlosen Netzwerken herstellt, und dem Hintergrundprozess hostapd, der für den Betrieb von Access Points und Authentifizierungsservern zuständig ist. Zu den Komponenten gehören der WPA Authenticator, der RADIUS-Client/Server zur Authentifizierung sowie der EAP-Server. Der Quellcode des Projekts wird unter der BSD-Lizenz verbreitet.

Neben funktionalen Änderungen in der neuen Version wurde ein neuer Angriffsvektor über Seitenkanäle blockiert, der die Methode zur Aushandlung von Verbindungen SAE (Simultaneous Authentication of Equals) und das EAP-pwd-Protokoll betrifft. Ein Angreifer, der die Möglichkeit hat, nicht privilegierten Code auf dem System eines Benutzers auszuführen, der sich mit einem drahtlosen Netzwerk verbindet, kann durch die Überwachung der Systemaktivität Informationen über die Merkmale des Passworts erhalten und diese zur Erleichterung der Passwortnutzung im Offline-Modus verwenden. Das Problem wird durch Datenleaks über Seitenkanäle verursacht, die Informationen über die Passwortmerkmale preisgeben. Diese ermöglichen es, durch indirekte Hinweise, wie z. B. die Änderung der Verzögerungen bei der Ausführung von Operationen, die Richtigkeit der Auswahl von Teilen des Passworts während des Vorgangs der Passwortermittlung zu bestätigen.

Im Gegensatz zu ähnlichen Problemen, die 2019 behoben wurden, resultiert die neue Schwachstelle daraus, dass die externen kryptografischen Primitiven in der Funktion crypto_ec_point_solve_y_coord() keine konstante Ausführungszeit boten, unabhängig von der Art der verarbeiteten Daten. Durch die Analyse des Verhaltens des Prozessor-Caches konnte ein Angreifer, der die Möglichkeit hatte, unprivilegierten Code im gleichen CPU-Kern auszuführen, Informationen über den Fortschritt der Passwortoperationen in SAE/EAP-pwd erlangen. Alle Versionen von wpa_supplicant und hostapd, die mit Unterstützung für SAE (CONFIG_SAE=y) und EAP-pwd (CONFIG_EAP_PWD=y) kompiliert wurden, sind betroffen.

Weitere Änderungen in den neuen Versionen von hostapd und wpa_supplicant:

  • Die Möglichkeit zur Kompilierung mit der kryptografischen Bibliothek OpenSSL 3.0 wurde hinzugefügt.
  • Der in der Spezifikationsaktualisierung vorgeschlagene Mechanismus zur Beaconschutz wurde implementiert, um sich gegen aktive Angriffe auf das WLAN zu schützen, die die Änderung von Beacon-Frames manipulieren.
  • Es wurde die Unterstützung für das DPP 2-Protokoll (Wi-Fi Device Provisioning Protocol) hinzugefügt, welches ein Verfahren zur Authentifizierung über öffentliche Schlüssel definiert, das im WPA3-Standard verwendet wird, um die einfache Einrichtung von Geräten ohne Bildschirm-Interface zu ermöglichen. Die Einrichtung erfolgt unter Verwendung eines anderen, fortschrittlicheren Geräts, das bereits mit dem drahtlosen Netzwerk verbunden ist. Zum Beispiel können die Parameter für ein IoT-Gerät ohne Bildschirm über ein Smartphone festgelegt werden, basierend auf einem QR-Code, der auf dem Gehäuse gedruckt ist.
  • Es wurde die Unterstützung für erweiterte Schlüssel-IDs (Extended Key ID, IEEE 802.11-2016) hinzugefügt.
  • In die Implementierung des SAE-Verbindungsvereinbarungsverfahrens wurde die Unterstützung für den SAE-PK-Schutzmechanismus (SAE Public Key) aufgenommen. Zudem wurde der sofortige Bestätigungsmodus implementiert, der über die Option „sae_config_immediate=1“ aktiviert werden kann, sowie der hash-to-element-Mechanismus, der aktiviert wird, wenn der Parameter sae_pwe auf die Werte 1 oder 2 gesetzt wird.
  • In die Implementierung von EAP-TLS wurde die Unterstützung für TLS 1.3 hinzugefügt (standardmäßig deaktiviert).
  • Neue Einstellungen (max_auth_rounds, max_auth_rounds_short) wurden hinzugefügt, um die Limits der Anzahl von EAP-Nachrichten während des Authentifizierungsprozesses anzupassen (Änderungen der Limits können erforderlich sein, wenn sehr große Zertifikate verwendet werden).
  • Unterstützung für das PASN-Verfahren (Pre Association Security Negotiation) hinzugefügt, um eine sichere Verbindung herzustellen und den Austausch von Steuerrahmen in der frühen Verbindungsphase zu schützen.
  • Der Mechanismus 'Transition Disable' wurde implementiert, um die Sicherheit zu erhöhen, indem der Roaming-Modus automatisch deaktiviert wird, der das Wechseln zwischen Access Points während der Bewegung zulässt.
  • Die Standard-Builds schließen die Unterstützung für das WEP-Protokoll aus (für die Wiederherstellung der WEP-Unterstützung ist ein Rebuild mit der Option CONFIG_WEP=y erforderlich). Veraltete Funktionen im Zusammenhang mit dem IAPP-Protokoll (Inter-Access Point Protocol) wurden entfernt. Unterstützung für libnl 1.1 wurde eingestellt. Eine Build-Option CONFIG_NO_TKIP=y wurde hinzugefügt, um einen Build ohne TKIP-Unterstützung zu ermöglichen.
  • Sicherheitsanfälligkeiten in der UPnP-Implementierung (CVE-2020-12695), im P2P/Wi-Fi Direct-Handler (CVE-2021-27803) und im PMF-Schutzmechanismus (CVE-2019-16275) wurden behoben.
  • Zu den spezifischen Änderungen für hostapd gehört die erweiterte Unterstützung für HEW (High-Efficiency Wireless, IEEE 802.11ax) einschließlich der Nutzung des Frequenzbereichs von 6 GHz.
  • Änderungen, die spezifisch für wpa_supplicant sind:
    • Unterstützung für die Konfiguration des Access Point-Modus für SAE (WPA3-Personal) hinzugefügt.
    • Für EDMG-Kanäle (IEEE 802.11ay) wurde Unterstützung für den P2P-Modus implementiert.
    • Verbesserte Prognose der Bandbreite und Auswahl von BSS.
    • Erweiterte Verwaltungsoberfläche über D-Bus.
    • Neuer Backend für die Speicherung von Passwörtern in einer separaten Datei hinzugefügt, um vertrauliche Informationen aus der Hauptkonfigurationsdatei auszulagern.
    • Neue Richtlinien für SCS, MSCS und DSCP hinzugefügt.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster