ProHoster > Blog > noticias de internet > lanzamiento de hostapd y wpa_supplicant 2.10

lanzamiento de hostapd y wpa_supplicant 2.10

Después de un año y medio de desarrollo, se ha preparado el lanzamiento de hostapd/wpa_supplicant 2.10, un conjunto para soportar los protocolos inalámbricos IEEE 802.1X, WPA, WPA2, WPA3 y EAP, compuesto por la aplicación wpa_supplicant para conectarse a una red inalámbrica. como cliente y el proceso en segundo plano de hostapd para proporcionar la operación del punto de acceso y un servidor de autenticación, incluidos componentes como el autenticador WPA, el cliente/servidor de autenticación RADIUS y el servidor EAP. El código fuente del proyecto se distribuye bajo licencia BSD.

Además de los cambios funcionales, la nueva versión bloquea un nuevo vector de ataque de canal lateral que afecta al método de negociación de conexión SAE (Autenticación simultánea de iguales) y al protocolo EAP-pwd. Un atacante que tiene la capacidad de ejecutar código sin privilegios en el sistema de un usuario que se conecta a una red inalámbrica puede, al monitorear la actividad en el sistema, obtener información sobre las características de la contraseña y usarlas para simplificar la adivinación de contraseñas en modo fuera de línea. El problema se debe a la filtración a través de canales de terceros de información sobre las características de la contraseña, lo que permite, a partir de datos indirectos, como cambios en los retrasos durante las operaciones, aclarar la exactitud de la elección de las partes de la contraseña en el proceso de selección del mismo.

A diferencia de problemas similares solucionados en 2019, la nueva vulnerabilidad se debe al hecho de que las primitivas criptográficas externas utilizadas en la función crypto_ec_point_solve_y_coord() no proporcionaron un tiempo de ejecución constante, independientemente de la naturaleza de los datos que se procesan. Según el análisis del comportamiento de la caché del procesador, un atacante que tuviera la capacidad de ejecutar código sin privilegios en el mismo núcleo del procesador podría obtener información sobre el progreso de las operaciones de contraseña en SAE/EAP-pwd. El problema afecta a todas las versiones de wpa_supplicant y hostapd compiladas con soporte para SAE (CONFIG_SAE=y) y EAP-pwd (CONFIG_EAP_PWD=y).

Otros cambios en las nuevas versiones de hostapd y wpa_supplicant:

  • Se agregó la capacidad de construir con la biblioteca criptográfica OpenSSL 3.0.
  • Se ha implementado el mecanismo Beacon Protection propuesto en la actualización de la especificación WPA3, diseñado para proteger contra ataques activos a la red inalámbrica que manipulan cambios en las tramas de Beacon.
  • Se agregó soporte para DPP 2 (Protocolo de aprovisionamiento de dispositivos Wi-Fi), que define el método de autenticación de clave pública utilizado en el estándar WPA3 para una configuración simplificada de dispositivos sin una interfaz en pantalla. La configuración se realiza utilizando otro dispositivo más avanzado ya conectado a la red inalámbrica. Por ejemplo, los parámetros de un dispositivo IoT sin pantalla se pueden configurar desde un teléfono inteligente basándose en una instantánea de un código QR impreso en la carcasa;
  • Se agregó soporte para ID de clave extendida (IEEE 802.11-2016).
  • Se agregó soporte para el mecanismo de seguridad SAE-PK (clave pública SAE) a la implementación del método de negociación de conexión SAE. Se implementa un modo para enviar confirmación instantáneamente, habilitado por la opción “sae_config_immediate=1”, así como un mecanismo de hash a elemento, habilitado cuando el parámetro sae_pwe está establecido en 1 o 2.
  • La implementación EAP-TLS ha agregado soporte para TLS 1.3 (deshabilitado de forma predeterminada).
  • Se agregaron nuevas configuraciones (max_auth_rounds, max_auth_rounds_short) para cambiar los límites en la cantidad de mensajes EAP durante el proceso de autenticación (es posible que se requieran cambios en los límites cuando se usan certificados muy grandes).
  • Se agregó soporte para el mecanismo PASN (Negociación de seguridad previa a la asociación) para establecer una conexión segura y proteger el intercambio de marcos de control en una etapa de conexión anterior.
  • Se ha implementado el mecanismo Transition Disable, que le permite desactivar automáticamente el modo de roaming, lo que le permite cambiar entre puntos de acceso a medida que se mueve, para mejorar la seguridad.
  • La compatibilidad con el protocolo WEP está excluida de las compilaciones predeterminadas (se requiere la reconstrucción con la opción CONFIG_WEP=y para devolver la compatibilidad con WEP). Se eliminó la funcionalidad heredada relacionada con el protocolo entre puntos de acceso (IAPP). Se ha interrumpido el soporte para libnl 1.1. Se agregó la opción de compilación CONFIG_NO_TKIP=y para compilaciones sin soporte TKIP.
  • Se corrigieron vulnerabilidades en la implementación UPnP (CVE-2020-12695), en el controlador P2P/Wi-Fi Direct (CVE-2021-27803) y el mecanismo de protección PMF (CVE-2019-16275).
  • Los cambios específicos de Hostapd incluyen soporte ampliado para redes inalámbricas HEW (High-Efficiency Wireless, IEEE 802.11ax), incluida la capacidad de utilizar el rango de frecuencia de 6 GHz.
  • Cambios específicos de wpa_supplicant:
    • Se agregó soporte para la configuración del modo de punto de acceso para SAE (WPA3-Personal).
    • La compatibilidad con el modo P802.11P está implementada para los canales EDMG (IEEE 2ay).
    • Predicción de rendimiento mejorada y selección de BSS.
    • Se ha ampliado la interfaz de control a través de D-Bus.
    • Se ha agregado un nuevo backend para almacenar contraseñas en un archivo separado, lo que le permite eliminar información confidencial del archivo de configuración principal.
    • Se agregaron nuevas políticas para SCS, MSCS y DSCP.

Fuente: opennet.ru

Añadir un comentario