ProHoster > Блог > interretaj novaĵoj > hostapd kaj wpa_supplicant 2.10 eldono

hostapd kaj wpa_supplicant 2.10 eldono

Post jaro kaj duono da evoluo, la liberigo de hostapd/wpa_supplicant 2.10 estis preta, aro por subteni la sendratajn protokolojn IEEE 802.1X, WPA, WPA2, WPA3 kaj EAP, konsistante el la aplikaĵo wpa_supplicant por konekti al sendrata reto. kiel kliento kaj la hostapd fonprocezo por disponigi operacion de la alirpunkto kaj konfirmservilo, inkluzive de komponentoj kiel ekzemple WPA Authenticator, RADIUS-konfirmkliento/servilo, EAP-servilo. La fontkodo de la projekto estas distribuita sub la permesilo BSD.

Aldone al funkciaj ŝanĝoj, la nova versio blokas novan flanka-kanalan atakvektoron influantan la SAE (Samtempa Authentication of Equals) konektan intertraktadmetodon kaj la EAP-pwd-protokolon. Atakanto, kiu havas la kapablon ekzekuti senprivilegian kodon en la sistemo de uzanto konektanta al sendrata reto, povas, per monitorado de agado en la sistemo, akiri informojn pri pasvortkarakterizaĵoj kaj uzi ilin por simpligi pasvortdiveni en eksterreta reĝimo. La problemo estas kaŭzita de la elfluo tra triaj kanaloj de informoj pri la karakterizaĵoj de la pasvorto, kiu permesas, surbaze de nerektaj datumoj, kiel ŝanĝoj en prokrastoj dum operacioj, klarigi la ĝustecon de la elekto de partoj de la pasvorto en la procezo de elekto de ĝi.

Male al similaj problemoj solvitaj en 2019, la nova vundebleco estas kaŭzita de la fakto, ke la eksteraj kriptaj primitivoj uzataj en la funkcio crypto_ec_point_solve_y_coord() ne provizis konstantan ekzekuttempon, sendepende de la naturo de la prilaboritaj datumoj. Surbaze de la analizo de la konduto de la procesora kaŝmemoro, atakanto, kiu havis la kapablon ruli senprivilegian kodon sur la sama procesora kerno, povus akiri informojn pri la progreso de pasvortaj operacioj en SAE/EAP-pwd. La problemo influas ĉiujn versiojn de wpa_supplicant kaj hostapd kompilitaj kun subteno por SAE (CONFIG_SAE=y) kaj EAP-pwd (CONFIG_EAP_PWD=y).

Aliaj ŝanĝoj en la novaj eldonoj de hostapd kaj wpa_supplicant:

  • Aldonis la kapablon konstrui kun la kriptografa biblioteko OpenSSL 3.0.
  • La mekanismo Beacon Protection proponita en la ĝisdatigo de la specifo WPA3 estis efektivigita, dizajnita por protekti kontraŭ aktivaj atakoj sur la sendrata reto, kiuj manipulas ŝanĝojn en Beacon-kadroj.
  • Aldonita subteno por DPP 2 (Wi-Fi Device Provisioning Protocol), kiu difinas la publikan ŝlosilan aŭtentikigmetodon uzatan en la WPA3-normo por simpligita agordo de aparatoj sen surekrana interfaco. Agordo estas farita per alia pli altnivela aparato jam konektita al la sendrata reto. Ekzemple, parametroj por IoT-aparato sen ekrano povas esti fiksitaj de inteligenta telefono surbaze de momentfoto de QR-kodo presita sur la kazo;
  • Aldonita subteno por Etendita Ŝlosilo ID (IEEE 802.11-2016).
  • Subteno por la sekurecmekanismo SAE-PK (SAE Publika Ŝlosilo) estis aldonita al la efektivigo de la SAE-konektintertraktadmetodo. Reĝimo por tuj sendado de konfirmo estas efektivigita, ebligita per la opcio "sae_config_immediate=1", same kiel haŝ-al-elementa mekanismo, ebligita kiam la parametro sae_pwe estas agordita al 1 aŭ 2.
  • La efektivigo de EAP-TLS aldonis subtenon por TLS 1.3 (malŝaltita defaŭlte).
  • Aldonitaj novaj agordoj (max_auth_rounds, max_auth_rounds_short) por ŝanĝi la limojn pri la nombro da EAP-mesaĝoj dum la aŭtentikigprocezo (ŝanĝoj en limoj povas esti bezonataj kiam uzado de tre grandaj atestiloj).
  • Aldonita subteno por la mekanismo PSN (Pre Association Security Negotiation) por establi sekuran ligon kaj protekti la interŝanĝon de kontrolkadroj en pli frua koneksa stadio.
  • La mekanismo de Transiro Malŝaltita estis efektivigita, kiu ebligas vin aŭtomate malŝalti vagan reĝimon, kiu ebligas al vi ŝanĝi inter alirpunktoj dum vi moviĝas, por plibonigi sekurecon.
  • Subteno por la WEP-protokolo estas ekskludita de defaŭltaj konstruoj (rekonstruado kun la opcio CONFIG_WEP=y estas necesa por resendi WEP-subtenon). Forigita hereda funkcieco rilata al Inter-Access Point Protocol (IAPP). Subteno por libnl 1.1 estis nuligita. Aldonita konstruopcio CONFIG_NO_TKIP=y por konstruoj sen TKIP-subteno.
  • Riparis vundeblecojn en la efektivigo de UPnP (CVE-2020-12695), en la pritraktilo P2P/Wi-Fi Direct (CVE-2021-27803) kaj en la protekta mekanismo de PMF (CVE-2019-16275).
  • Hostapd-specifaj ŝanĝoj inkludas vastigitan subtenon por HEW (High-Efficiency Wireless, IEEE 802.11ax) sendrataj retoj, inkluzive de la kapablo uzi la 6 GHz-frekvencintervalon.
  • Ŝanĝoj specifaj por wpa_supplicant:
    • Aldonita subteno por alirpunkta reĝimo agordoj por SAE (WPA3-Persona).
    • P802.11P-reĝimsubteno estas efektivigita por EDMG-kanaloj (IEEE 2ay).
    • Plibonigita traira prognozo kaj BSS-elekto.
    • La kontrolinterfaco per D-Bus estis vastigita.
    • Nova backend estis aldonita por stoki pasvortojn en aparta dosiero, permesante al vi forigi sentemajn informojn de la ĉefa agorda dosiero.
    • Aldonitaj novaj politikoj por SCS, MSCS kaj DSCP.

fonto: opennet.ru

Aldoni komenton