Pärast poolteist aastat kestnud arendustööd on valminud hostapd/wpa_supplicant 2.10 väljalase, IEEE 802.1X, WPA, WPA2, WPA3 ja EAP traadita protokollide käitamiseks mõeldud komplekt, mis koosneb rakendusest wpa_supplicant traadita võrguga ühenduse loomiseks. kui klient ja hostapd taustprotsess pääsupunkti ja autentimisserveri käitamiseks, sealhulgas sellised komponendid nagu WPA Authenticator, RADIUS autentimise klient/server, EAP server. Projekti lähtekoodi levitatakse BSD litsentsi all.
Lisaks funktsionaalsetele muudatustele blokeerib uus versioon uue külgkanali ründevektori, mis mõjutab SAE (Simultaneous Authentication of Equals) ühenduse läbirääkimismeetodit ja EAP-pwd protokolli. Ründaja, kellel on võimalus käivitada traadita võrguga ühenduse loonud kasutaja süsteemis privilegeerimata koodi, saab süsteemi tegevust jälgides hankida teavet parooli omaduste kohta ja kasutada neid võrguühenduseta režiimis parooli äraarvamise lihtsustamiseks. Probleemi põhjustab parooli omaduste kohta teabe lekkimine kolmandate osapoolte kanalite kaudu, mis võimaldab kaudsete andmete (nt viivituste muutused operatsioonide ajal) põhjal selgitada parooli osade valiku õigsust. selle valimise protsess.
Erinevalt 2019. aastal parandatud sarnastest probleemidest on uue haavatavuse põhjuseks asjaolu, et funktsioonis crypto_ec_point_solve_y_coord() kasutatud välised krüptoprimitiivid ei taganud püsivat täitmisaega, olenemata töödeldavate andmete iseloomust. Protsessori vahemälu käitumise analüüsi põhjal võis ründaja, kellel oli võimalus käivitada privilegeerimata koodi samas protsessori tuumas, saada teavet paroolitoimingute edenemise kohta SAE/EAP-pwd-s. Probleem mõjutab kõiki wpa_supplicant ja hostapd versioone, mis on kompileeritud SAE (CONFIG_SAE=y) ja EAP-pwd (CONFIG_EAP_PWD=y) toega.
Muud muudatused hostapd ja wpa_supplicant uutes väljaannetes:
- Lisati võimalus luua OpenSSL 3.0 krüptograafilise raamatukoguga.
- Rakendatud on WPA3 spetsifikatsiooni värskenduses pakutud majakakaitse mehhanism, mis on loodud kaitsma traadita võrgu aktiivsete rünnakute eest, mis manipuleerivad majakakaadrites tehtud muudatusi.
- Lisatud on tugi DPP 2-le (Wi-Fi Device Provisioning Protocol), mis määratleb WPA3 standardis kasutatava avaliku võtme autentimismeetodi seadmete lihtsustatud konfigureerimiseks ilma ekraaniliideseta. Seadistamine toimub mõne muu täiustatud seadmega, mis on juba traadita võrguga ühendatud. Näiteks ilma ekraanita IoT-seadme parameetreid saab määrata nutitelefonist korpusele prinditud QR-koodi hetktõmmise põhjal;
- Lisatud on laiendatud võtme ID tugi (IEEE 802.11-2016).
- SAE ühenduse läbirääkimismeetodi juurutamisele on lisatud SAE-PK (SAE Public Key) turbemehhanismi tugi. Rakendatud on kinnituse viivitamatu saatmise režiim, mille lubab suvand "sae_config_immediate=1", samuti räsi elemendiks mehhanism, mis on lubatud, kui parameeter sae_pwe on seatud väärtusele 1 või 2.
- EAP-TLS-i juurutus on lisanud TLS 1.3 toe (vaikimisi keelatud).
- Lisatud uued sätted (max_auth_rounds, max_auth_rounds_short), et muuta autentimisprotsessi ajal EAP-sõnumite arvu piiranguid (väga suurte sertifikaatide kasutamisel võib olla vajalik piirangute muutmine).
- Lisatud on tugi PASN (Pre Association Security Negotiation) mehhanismile turvalise ühenduse loomiseks ja juhtraamide vahetuse kaitsmiseks varasemas ühenduse etapis.
- Rakendatud on ülemineku keelamise mehhanism, mis võimaldab turvalisuse suurendamiseks automaatselt keelata rändlusrežiimi, mis võimaldab teil liikuda pääsupunktide vahel.
- WEP-protokolli tugi on vaikejärgudest välja jäetud (WEP-toe tagastamiseks on vaja uuesti üles ehitada suvandiga CONFIG_WEP=y). Inter-Access Point Protocoliga (IAPP) seotud pärandfunktsioonid on eemaldatud. Libnl 1.1 tugi on lõpetatud. Lisatud ehitusvalik CONFIG_NO_TKIP=y ilma TKIP-toeta järgutele.
- Parandatud haavatavused UPnP juurutuses (CVE-2020-12695), P2P/Wi-Fi Directi töötlejas (CVE-2021-27803) ja PMF-i kaitsemehhanismis (CVE-2019-16275).
- Hostapd-spetsiifilised muudatused hõlmavad HEW (High-Efficiency Wireless, IEEE 802.11ax) traadita võrkude laiendatud tuge, sealhulgas võimalust kasutada 6 GHz sagedusvahemikku.
- Wpa_supplicant spetsiifilised muudatused:
- Lisatud SAE (WPA3-Personal) pääsupunkti režiimi sätete tugi.
- P802.11P-režiimi tugi on rakendatud EDMG-kanalite jaoks (IEEE 2ay).
- Täiustatud läbilaskevõime ennustamine ja BSS-i valik.
- Laiendatud on juhtimisliidest D-Busi kaudu.
- Lisatud on uus taustaprogramm paroolide salvestamiseks eraldi failis, mis võimaldab eemaldada peamisest konfiguratsioonifailist tundlikku teavet.
- Lisatud uued reeglid SCS-i, MSCS-i ja DSCP jaoks.
Allikas: opennet.ru