ProHoster > Blog > ειδήσεις στο διαδίκτυο > έκδοση hostapd και wpa_supplicant 2.10

έκδοση hostapd και wpa_supplicant 2.10

Μετά από ενάμιση χρόνο ανάπτυξης, ετοιμάστηκε η κυκλοφορία του hostapd/wpa_supplicant 2.10, ένα σύνολο για την υποστήριξη των ασύρματων πρωτοκόλλων IEEE 802.1X, WPA, WPA2, WPA3 και EAP, που αποτελείται από την εφαρμογή wpa_supplicant για σύνδεση σε ασύρματο δίκτυο ως πελάτης και η διαδικασία παρασκηνίου του hostapd για την παροχή λειτουργίας του σημείου πρόσβασης και ενός διακομιστή ελέγχου ταυτότητας, συμπεριλαμβανομένων στοιχείων όπως το WPA Authenticator, ο πελάτης/διακομιστής ελέγχου ταυτότητας RADIUS, ο διακομιστής EAP. Ο πηγαίος κώδικας του έργου διανέμεται υπό την άδεια BSD.

Εκτός από τις λειτουργικές αλλαγές, η νέα έκδοση αποκλείει ένα νέο διάνυσμα επίθεσης πλευρικού καναλιού που επηρεάζει τη μέθοδο διαπραγμάτευσης σύνδεσης SAE (Simultaneous Authentication of Equals) και το πρωτόκολλο EAP-pwd. Ένας εισβολέας που έχει τη δυνατότητα να εκτελεί μη προνομιούχο κώδικα στο σύστημα ενός χρήστη που συνδέεται σε ασύρματο δίκτυο μπορεί, παρακολουθώντας τη δραστηριότητα στο σύστημα, να λάβει πληροφορίες σχετικά με τα χαρακτηριστικά του κωδικού πρόσβασης και να τις χρησιμοποιήσει για να απλοποιήσει την εικασία κωδικού πρόσβασης σε λειτουργία εκτός σύνδεσης. Το πρόβλημα προκαλείται από τη διαρροή πληροφοριών σχετικά με τα χαρακτηριστικά του κωδικού πρόσβασης μέσω καναλιών τρίτων, η οποία επιτρέπει, με βάση έμμεσα δεδομένα, όπως αλλαγές στις καθυστερήσεις κατά τη λειτουργία, να διευκρινιστεί η ορθότητα της επιλογής τμημάτων του κωδικού πρόσβασης στο τη διαδικασία επιλογής του.

Σε αντίθεση με παρόμοια ζητήματα που διορθώθηκαν το 2019, η νέα ευπάθεια προκαλείται από το γεγονός ότι τα εξωτερικά κρυπτογραφικά primitives που χρησιμοποιούνται στη συνάρτηση crypto_ec_point_solve_y_coord() δεν παρείχαν σταθερό χρόνο εκτέλεσης, ανεξάρτητα από τη φύση των δεδομένων που υποβάλλονται σε επεξεργασία. Με βάση την ανάλυση της συμπεριφοράς της κρυφής μνήμης του επεξεργαστή, ένας εισβολέας που είχε τη δυνατότητα να εκτελεί μη προνομιούχο κώδικα στον ίδιο πυρήνα επεξεργαστή μπορούσε να λάβει πληροφορίες σχετικά με την πρόοδο των λειτουργιών κωδικού πρόσβασης στο SAE/EAP-pwd. Το πρόβλημα επηρεάζει όλες τις εκδόσεις του wpa_supplicant και του hostapd που έχουν μεταγλωττιστεί με υποστήριξη για SAE (CONFIG_SAE=y) και EAP-pwd (CONFIG_EAP_PWD=y).

Άλλες αλλαγές στις νέες εκδόσεις των hostapd και wpa_supplicant:

  • Προστέθηκε η δυνατότητα δημιουργίας με την κρυπτογραφική βιβλιοθήκη OpenSSL 3.0.
  • Ο μηχανισμός Προστασίας Beacon που προτείνεται στην ενημέρωση προδιαγραφών WPA3 έχει εφαρμοστεί, σχεδιασμένος για να προστατεύει από ενεργές επιθέσεις στο ασύρματο δίκτυο που χειρίζονται αλλαγές στα πλαίσια Beacon.
  • Προστέθηκε υποστήριξη για το DPP 2 (Wi-Fi Device Provisioning Protocol), το οποίο ορίζει τη μέθοδο ελέγχου ταυτότητας δημόσιου κλειδιού που χρησιμοποιείται στο πρότυπο WPA3 για απλοποιημένη διαμόρφωση συσκευών χωρίς διεπαφή επί της οθόνης. Η εγκατάσταση πραγματοποιείται χρησιμοποιώντας μια άλλη πιο προηγμένη συσκευή που είναι ήδη συνδεδεμένη στο ασύρματο δίκτυο. Για παράδειγμα, οι παράμετροι για μια συσκευή IoT χωρίς οθόνη μπορούν να οριστούν από ένα smartphone με βάση ένα στιγμιότυπο ενός κωδικού QR που είναι τυπωμένο στη θήκη.
  • Προστέθηκε υποστήριξη για Extended Key ID (IEEE 802.11-2016).
  • Η υποστήριξη για τον μηχανισμό ασφαλείας SAE-PK (SAE Public Key) προστέθηκε στην εφαρμογή της μεθόδου διαπραγμάτευσης σύνδεσης SAE. Υλοποιείται μια λειτουργία για άμεση αποστολή επιβεβαίωσης, η οποία ενεργοποιείται από την επιλογή «sae_config_immediate=1», καθώς και ένας μηχανισμός κατακερματισμού σε στοιχείο, που ενεργοποιείται όταν η παράμετρος sae_pwe έχει οριστεί σε 1 ή 2.
  • Η υλοποίηση EAP-TLS έχει προσθέσει υποστήριξη για το TLS 1.3 (απενεργοποιημένο από προεπιλογή).
  • Προστέθηκαν νέες ρυθμίσεις (max_auth_rounds, max_auth_rounds_short) για αλλαγή των ορίων στον αριθμό των μηνυμάτων EAP κατά τη διαδικασία ελέγχου ταυτότητας (ενδέχεται να απαιτούνται αλλαγές στα όρια όταν χρησιμοποιούνται πολύ μεγάλα πιστοποιητικά).
  • Προστέθηκε υποστήριξη για τον μηχανισμό PASN (Pre Association Security Negotiation) για τη δημιουργία ασφαλούς σύνδεσης και την προστασία της ανταλλαγής πλαισίων ελέγχου σε προγενέστερο στάδιο σύνδεσης.
  • Έχει εφαρμοστεί ο μηχανισμός Transition Disable, ο οποίος σας επιτρέπει να απενεργοποιείτε αυτόματα τη λειτουργία περιαγωγής, η οποία σας επιτρέπει να κάνετε εναλλαγή μεταξύ σημείων πρόσβασης καθώς μετακινείστε, για να βελτιώσετε την ασφάλεια.
  • Η υποστήριξη για το πρωτόκολλο WEP εξαιρείται από τις προεπιλεγμένες εκδόσεις (απαιτείται αναδόμηση με την επιλογή CONFIG_WEP=y για την επιστροφή της υποστήριξης WEP). Καταργήθηκε η παλαιού τύπου λειτουργικότητα που σχετίζεται με το Πρωτόκολλο Inter-Access Point (IAPP). Η υποστήριξη για το libnl 1.1 έχει διακοπεί. Προστέθηκε η επιλογή κατασκευής CONFIG_NO_TKIP=y για εκδόσεις χωρίς υποστήριξη TKIP.
  • Διορθώθηκαν ευπάθειες στην υλοποίηση UPnP (CVE-2020-12695), στον χειριστή P2P/Wi-Fi Direct (CVE-2021-27803) και στον μηχανισμό προστασίας PMF (CVE-2019-16275).
  • Οι αλλαγές που αφορούν ειδικά το Hostapd περιλαμβάνουν εκτεταμένη υποστήριξη για ασύρματα δίκτυα HEW (High-Efficiency Wireless, IEEE 802.11ax), συμπεριλαμβανομένης της δυνατότητας χρήσης της περιοχής συχνοτήτων των 6 GHz.
  • Αλλαγές ειδικά για το wpa_supplicant:
    • Προστέθηκε υποστήριξη για ρυθμίσεις λειτουργίας σημείου πρόσβασης για SAE (WPA3-Personal).
    • Η υποστήριξη λειτουργίας P802.11P υλοποιείται για κανάλια EDMG (IEEE 2ay).
    • Βελτιωμένη πρόβλεψη απόδοσης και επιλογή BSS.
    • Η διεπαφή ελέγχου μέσω D-Bus έχει επεκταθεί.
    • Προστέθηκε ένα νέο backend για την αποθήκευση κωδικών πρόσβασης σε ξεχωριστό αρχείο, επιτρέποντάς σας να αφαιρέσετε ευαίσθητες πληροφορίες από το κύριο αρχείο διαμόρφωσης.
    • Προστέθηκαν νέες πολιτικές για SCS, MSCS και DSCP.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο