ProHoster > Blog > Interneteko albisteak > hostapd eta wpa_supplicant 2.10 bertsioa

hostapd eta wpa_supplicant 2.10 bertsioa

Urte eta erdiko garapenaren ondoren, hostapd/wpa_supplicant 2.10 bertsioa prestatu da, IEEE 802.1X, WPA, WPA2, WPA3 eta EAP haririk gabeko protokoloak onartzen dituen multzoa, haririk gabeko sare batera konektatzeko wpa_supplicant aplikazioaz osatua. bezero gisa eta hostapd atzeko planoko prozesua sarbide-puntuaren eta autentifikazio-zerbitzari baten funtzionamendua emateko, WPA Authenticator, RADIUS autentifikazio bezero/zerbitzaria, EAP zerbitzaria bezalako osagaiak barne. Proiektuaren iturburu kodea BSD lizentziapean banatzen da.

Aldaketa funtzionalez gain, bertsio berriak SAE (Simultaneous Authentication of Equals) konexio-negoziazio-metodoari eta EAP-pwd protokoloari eragiten dion alboko kanaleko eraso-bektore berri bat blokeatzen du. Haririk gabeko sare batera konektatzen den erabiltzaile baten sisteman pribilegiorik gabeko kodea exekutatzeko gaitasuna duen erasotzaile batek, sistemako jarduera kontrolatuz, pasahitzaren ezaugarriei buruzko informazioa lor dezake eta lineaz kanpoko moduan pasahitzak asmatzea errazteko erabil dezake. Arazoa hirugarrenen pasahitzaren ezaugarriei buruzko informazio-kanalen bidez isurtzeak eragiten du, eta horrek aukera ematen du zeharkako datuetan oinarrituta, hala nola eragiketetan izandako atzerapenen aldaketak, pasahitzaren zatien aukeraketa zuzena argitzeko. hautatzeko prozesua.

2019an konpondutako antzeko arazoak ez bezala, ahultasun berria crypto_ec_point_solve_y_coord() funtzioan erabilitako kanpoko kriptografiko primitiboek ez zutelako etengabeko exekuzio denborarik ematen, prozesatzen ari diren datuen izaera edozein dela ere. Prozesadorearen cachearen portaeraren analisian oinarrituta, prozesadorearen nukleo berean pribilegiorik gabeko kodea exekutatzeko gaitasuna zuen erasotzaileak SAE/EAP-pwd-en pasahitzen eragiketen aurrerapenari buruzko informazioa lor zezakeen. Arazoak SAE (CONFIG_SAE=y) eta EAP-pwd (CONFIG_EAP_PWD=y) euskarriarekin konpilatutako wpa_supplicant eta hostapd bertsio guztietan eragiten du.

Hostapd eta wpa_supplicant bertsio berrietan beste aldaketa batzuk:

  • OpenSSL 3.0 liburutegi kriptografikoarekin eraikitzeko gaitasuna gehitu da.
  • WPA3 zehaztapenen eguneratzean proposatutako Beacon Protection mekanismoa ezarri da, Beacon-en markoen aldaketak manipulatzen dituzten haririk gabeko sareko eraso aktiboetatik babesteko diseinatua.
  • DPP 2 (Wi-Fi Device Provisioning Protocol) laguntza gehitu da, pantailako interfazerik gabeko gailuen konfigurazio sinplifikatzeko WPA3 estandarrean erabiltzen den gako publikoaren autentifikazio metodoa definitzen duena. Konfigurazioa hari gabeko sarera konektatuta dagoen beste gailu aurreratuago bat erabiliz egiten da. Esate baterako, pantailarik gabeko IoT gailu baten parametroak telefono batetik ezarri daitezke zorroan inprimatutako QR kode baten argazki batean oinarrituta;
  • Gako hedatuaren IDrako laguntza gehitu da (IEEE 802.11-2016).
  • SAE-PK (SAE gako publikoa) segurtasun-mekanismorako euskarria gehitu da SAE konexioa negoziatzeko metodoaren ezarpenari. Berehala berrespena bidaltzeko modu bat ezartzen da, "sae_config_immediate=1" aukerak gaituta, baita hash-to-elementuen mekanismoa ere, sae_pwe parametroa 1 edo 2 gisa ezartzen denean gaituta.
  • EAP-TLS inplementazioak TLS 1.3rako laguntza gehitu du (lehenespenez desgaituta dago).
  • Ezarpen berriak gehitu dira (max_auth_rounds, max_auth_rounds_short) autentifikazio-prozesuan EAP mezu-kopuruaren mugak aldatzeko (baliteke muga-aldaketak behar izatea ziurtagiri oso handiak erabiltzean).
  • PSN (Pre Association Security Negotiation) mekanismorako euskarria gehitu da konexio segurua ezartzeko eta kontrol-marken trukea aurreko konexio-fasean babesteko.
  • Trantsizioa desgaitzeko mekanismoa ezarri da, ibiltaritza modua automatikoki desgaitzeko aukera ematen duena, mugitzen zaren bitartean sarbide puntu batetik bestera aldatzeko aukera ematen duena, segurtasuna hobetzeko.
  • WEP protokoloaren euskarria eraikuntza lehenetsietatik kanpo geratzen da (CONFIG_WEP=y aukerarekin berreraiki behar da WEP laguntza itzultzeko). Sarbide arteko puntuen protokoloarekin (IAPP) lotutako funtzionalitate zaharra kendu da. libnl 1.1 laguntza eten egin da. CONFIG_NO_TKIP=y eraikitze-aukera gehitu da TKIP laguntzarik gabeko eraikuntzarako.
  • Ahuleziak konpondu dira UPnP ezarpenean (CVE-2020-12695), P2P/Wi-Fi Direct kudeatzailean (CVE-2021-27803) eta PMF babeserako mekanismoan (CVE-2019-16275).
  • Hostapd-ren aldaketa espezifikoen artean, HEW (High-Efficiency Wireless, IEEE 802.11ax) haririk gabeko sareetarako laguntza hedatua dago, 6 GHz-ko maiztasun-tartea erabiltzeko gaitasuna barne.
  • wpa_supplicant-en berariazko aldaketak:
    • Sarbide-puntu moduaren ezarpenetarako laguntza gehitu da SAErako (WPA3-Personal).
    • P802.11P moduaren euskarria EDMG kanaletan ezartzen da (IEEE 2ay).
    • Errendimenduaren iragarpena eta BSS hautaketa hobetua.
    • D-Bus bidezko kontrol interfazea zabaldu da.
    • Backend berri bat gehitu da pasahitzak fitxategi bereizi batean gordetzeko, eta konfigurazio fitxategi nagusitik isilpeko informazioa ken dezakezu.
    • SCS, MSCS eta DSCP politika berriak gehitu dira.

Iturria: opennet.ru

Gehitu iruzkin berria