ProHoster > وبلاگ > اخبار اینترنتی > انتشار hostapd و wpa_supplicant 2.10

انتشار hostapd و wpa_supplicant 2.10

پس از یک سال و نیم توسعه، نسخه hostapd/wpa_supplicant 2.10 آماده شده است، مجموعه ای برای پشتیبانی از پروتکل های بی سیم IEEE 802.1X، WPA، WPA2، WPA3 و EAP، متشکل از برنامه wpa_supplicant برای اتصال به شبکه بی سیم. به عنوان یک کلاینت و فرآیند پس‌زمینه hostapd برای ارائه عملکرد نقطه دسترسی و یک سرور احراز هویت، از جمله مؤلفه‌هایی مانند WPA Authenticator، مشتری/سرور احراز هویت RADIUS، سرور EAP. کد منبع پروژه تحت مجوز BSD توزیع شده است.

علاوه بر تغییرات عملکردی، نسخه جدید یک بردار حمله کانال جانبی جدید را مسدود می کند که بر روش مذاکره اتصال SAE (تأیید هویت همزمان برابرها) و پروتکل EAP-pwd تأثیر می گذارد. مهاجمی که توانایی اجرای کدهای غیرمجاز بر روی سیستم کاربر متصل به شبکه بی سیم را دارد، می تواند با نظارت بر فعالیت در سیستم، اطلاعاتی در مورد ویژگی های رمز عبور به دست آورد و از آن برای ساده سازی حدس زدن رمز عبور در حالت آفلاین استفاده کند. این مشکل به دلیل نشت اطلاعات در مورد ویژگی های رمز عبور از طریق کانال های شخص ثالث است که بر اساس داده های غیرمستقیم، مانند تغییرات تاخیر در حین عملیات، امکان می دهد تا صحت انتخاب قسمت های رمز عبور را روشن کند. فرآیند انتخاب آن

برخلاف مشکلات مشابهی که در سال 2019 برطرف شد، آسیب‌پذیری جدید ناشی از این واقعیت است که رمزنگاری‌های اولیه خارجی مورد استفاده در تابع crypto_ec_point_solve_y_coord() صرف نظر از ماهیت داده‌های در حال پردازش، زمان اجرای ثابتی را ارائه نمی‌دهند. بر اساس تجزیه و تحلیل رفتار حافظه پنهان پردازنده، مهاجمی که توانایی اجرای کدهای غیرمجاز بر روی همان هسته پردازنده را داشت، می‌تواند اطلاعاتی در مورد پیشرفت عملیات رمز عبور در SAE/EAP-pwd به دست آورد. این مشکل همه نسخه‌های wpa_supplicant و hostapd ساخته شده با پشتیبانی از SAE (CONFIG_SAE=y) و EAP-pwd (CONFIG_EAP_PWD=y) را تحت تاثیر قرار می‌دهد.

تغییرات دیگر در نسخه های جدید hostapd و wpa_supplicant:

  • قابلیت ساخت با کتابخانه رمزنگاری OpenSSL 3.0 اضافه شده است.
  • مکانیسم محافظت از Beacon پیشنهاد شده در به‌روزرسانی مشخصات WPA3، برای محافظت در برابر حملات فعال در شبکه بی‌سیم که تغییرات در فریم‌های Beacon را دستکاری می‌کنند، طراحی شده است.
  • پشتیبانی از DPP 2 (پروتکل تامین دستگاه Wi-Fi)، که روش احراز هویت کلید عمومی مورد استفاده در استاندارد WPA3 را برای پیکربندی ساده دستگاه‌ها بدون رابط روی صفحه تعریف می‌کند. راه‌اندازی با استفاده از دستگاه پیشرفته‌تر دیگری که قبلاً به شبکه بی‌سیم متصل است انجام می‌شود. به عنوان مثال، پارامترهای یک دستگاه اینترنت اشیا بدون صفحه نمایش را می توان از طریق تلفن هوشمند بر اساس یک عکس فوری از یک کد QR چاپ شده روی کیس تنظیم کرد.
  • پشتیبانی از Extended Key ID (IEEE 802.11-2016) اضافه شد.
  • پشتیبانی از مکانیزم امنیتی SAE-PK (کلید عمومی SAE) به اجرای روش مذاکره اتصال SAE اضافه شده است. حالتی برای ارسال فوری تایید پیاده سازی شده است که با گزینه "sae_config_immediate=1" فعال می شود و همچنین مکانیزم هش به عنصر فعال می شود که وقتی پارامتر sae_pwe روی 1 یا 2 تنظیم شود فعال می شود.
  • پیاده سازی EAP-TLS پشتیبانی از TLS 1.3 را اضافه کرده است (به طور پیش فرض غیرفعال است).
  • تنظیمات جدید (max_auth_rounds، max_auth_rounds_short) برای تغییر محدودیت‌های تعداد پیام‌های EAP در طول فرآیند احراز هویت اضافه شد (ممکن است در هنگام استفاده از گواهی‌های بسیار بزرگ، تغییرات در محدودیت‌ها لازم باشد).
  • پشتیبانی از مکانیسم PASN (مذاکره امنیتی قبل از انجمن) برای ایجاد یک اتصال ایمن و محافظت از تبادل فریم های کنترل در مرحله اتصال اولیه.
  • مکانیسم Transition Disable پیاده سازی شده است که به شما امکان می دهد حالت رومینگ را به طور خودکار غیرفعال کنید، که به شما امکان می دهد هنگام حرکت بین نقاط دسترسی جابجا شوید تا امنیت را افزایش دهید.
  • پشتیبانی از پروتکل WEP از ساخت‌های پیش‌فرض مستثنی است (بازسازی با گزینه CONFIG_WEP=y برای بازگشت پشتیبانی WEP مورد نیاز است). عملکرد قدیمی مربوط به پروتکل نقطه دسترسی بین (IAPP) حذف شد. پشتیبانی از libnl 1.1 متوقف شده است. گزینه ساخت CONFIG_NO_TKIP=y برای ساخت‌های بدون پشتیبانی TKIP اضافه شد.
  • رفع آسیب‌پذیری‌ها در پیاده‌سازی UPnP (CVE-2020-12695)، در کنترلر P2P/Wi-Fi Direct (CVE-2021-27803) و در مکانیسم حفاظتی PMF (CVE-2019-16275).
  • تغییرات اختصاصی Hostapd شامل پشتیبانی گسترده از شبکه های بی سیم HEW (High-Efficiency Wireless، IEEE 802.11ax)، از جمله توانایی استفاده از محدوده فرکانس 6 گیگاهرتز است.
  • تغییرات ویژه wpa_supplicant:
    • اضافه شدن پشتیبانی از تنظیمات حالت نقطه دسترسی برای SAE (WPA3-Personal).
    • پشتیبانی از حالت P802.11P برای کانال های EDMG (IEEE 2ay) پیاده سازی شده است.
    • پیش بینی توان عملیاتی و انتخاب BSS بهبود یافته است.
    • رابط کنترل از طریق D-Bus گسترش یافته است.
    • یک Backend جدید برای ذخیره رمزهای عبور در یک فایل جداگانه اضافه شده است که به شما امکان می دهد اطلاعات حساس را از فایل پیکربندی اصلی حذف کنید.
    • سیاست های جدید برای SCS، MSCS و DSCP اضافه شده است.

منبع: opennet.ru

اضافه کردن نظر