Puolentoista vuoden kehitystyön jälkeen on valmisteltu julkaisu hostapd/wpa_supplicant 2.10, joka tukee langattomia protokollia IEEE 802.1X, WPA, WPA2, WPA3 ja EAP, joka koostuu wpa_supplicant-sovelluksesta yhteyden muodostamiseksi langattomaan verkkoon. asiakkaana ja hostapd-taustaprosessina tukiaseman ja todennuspalvelimen toiminnan tarjoamiseksi, mukaan lukien komponentit, kuten WPA Authenticator, RADIUS-todennusasiakas/palvelin, EAP-palvelin. Projektin lähdekoodia jaetaan BSD-lisenssillä.
Toiminnallisten muutosten lisäksi uusi versio estää uuden sivukanavan hyökkäysvektorin, joka vaikuttaa SAE (Simultaneous Authentication of Equals) yhteysneuvottelumenetelmään ja EAP-pwd-protokollaan. Hyökkääjä, joka pystyy suorittamaan oikeudetonta koodia langattomaan verkkoon kytkeytyvän käyttäjän järjestelmässä, voi järjestelmän toimintaa valvomalla saada tietoa salasanan ominaisuuksista ja käyttää niitä yksinkertaistamaan salasanan arvausta offline-tilassa. Ongelma johtuu siitä, että kolmannen osapuolen kanavien kautta vuotaa tietoa salasanan ominaisuuksista, mikä mahdollistaa epäsuorien tietojen, kuten toiminnan aikaisten viiveiden muutosten perusteella, selventää salasanan osien valinnan oikeellisuutta. sen valintaprosessi.
Toisin kuin vastaavat vuonna 2019 korjatut ongelmat, uusi haavoittuvuus johtuu siitä, että crypto_ec_point_solve_y_coord()-funktiossa käytetyt ulkoiset kryptografiset primitiivit eivät tarjonneet jatkuvaa suoritusaikaa käsiteltävän tiedon luonteesta riippumatta. Prosessorin välimuistin käyttäytymisen analyysin perusteella hyökkääjä, joka kykeni ajamaan etuoikeutettua koodia samassa prosessoriytimessä, saattoi saada tietoa salasanatoimintojen edistymisestä SAE/EAP-pwd:ssä. Ongelma vaikuttaa kaikkiin wpa_supplicant- ja hostapd-versioihin, jotka on käännetty SAE:n (CONFIG_SAE=y) ja EAP-pwd:n (CONFIG_EAP_PWD=y) tuella.
Muita muutoksia hostapdin ja wpa_supplicantin uusiin julkaisuihin:
- Lisätty mahdollisuus rakentaa OpenSSL 3.0 -salauskirjastolla.
- WPA3-spesifikaatiopäivityksessä ehdotettu Beacon Protection -mekanismi on otettu käyttöön, ja se on suunniteltu suojaamaan aktiivisilta hyökkäyksiltä langattomaan verkkoon, jotka manipuloivat Beacon-kehysten muutoksia.
- Lisätty tuki DPP 2:lle (Wi-Fi Device Provisioning Protocol), joka määrittelee WPA3-standardissa käytetyn julkisen avaimen todennusmenetelmän laitteiden yksinkertaistamiseen ilman näyttöliittymää. Asennus suoritetaan toisella edistyneemmällä laitteella, joka on jo yhdistetty langattomaan verkkoon. Esimerkiksi näyttöttömän IoT-laitteen parametrit voidaan asettaa älypuhelimesta koteloon painetun QR-koodin tilannekuvan perusteella;
- Lisätty tuki Extended Key ID:lle (IEEE 802.11-2016).
- SAE-yhteysneuvottelumenetelmän toteutukseen on lisätty tuki SAE-PK (SAE Public Key) -turvamekanismille. Välittömän vahvistuksen lähettämisen tila on otettu käyttöön "sae_config_immediate=1" -vaihtoehdolla sekä hash-to-element -mekanismi, joka otetaan käyttöön, kun sae_pwe-parametri on asetettu arvoon 1 tai 2.
- EAP-TLS-toteutus on lisännyt tuen TLS 1.3:lle (oletusarvoisesti poissa käytöstä).
- Lisätty uusia asetuksia (max_auth_rounds, max_auth_rounds_short) EAP-viestien määrän rajoitusten muuttamiseksi todennusprosessin aikana (rajojen muuttaminen voi olla tarpeen, kun käytetään erittäin suuria varmenteita).
- Lisätty tuki PASN (Pre Association Security Negotiation) -mekanismille suojatun yhteyden muodostamiseksi ja ohjauskehysten vaihdon suojaamiseksi aikaisemmassa yhteysvaiheessa.
- Transition Disable -mekanismi on otettu käyttöön, jonka avulla voit automaattisesti poistaa käytöstä verkkovierailutilan, jonka avulla voit vaihtaa tukiasemien välillä liikkuessasi turvallisuuden parantamiseksi.
- WEP-protokollan tuki on suljettu pois oletuskoontiversioista (uudelleenrakennus CONFIG_WEP=y-vaihtoehdolla vaaditaan WEP-tuen palauttamiseksi). Inter-Access Point Protocol (IAPP) -protokollaan liittyvät vanhat toiminnot poistettu. Libnl 1.1:n tuki on lopetettu. Lisätty koontivaihtoehto CONFIG_NO_TKIP=y käännöksille ilman TKIP-tukea.
- Korjattu haavoittuvuudet UPnP-toteutuksessa (CVE-2020-12695), P2P/Wi-Fi Direct -käsittelijässä (CVE-2021-27803) ja PMF-suojausmekanismissa (CVE-2019-16275).
- Hostapd-kohtaisia muutoksia ovat laajennettu tuki HEW (High-Efficiency Wireless, IEEE 802.11ax) langattomille verkoille, mukaan lukien mahdollisuus käyttää 6 GHz:n taajuusaluetta.
- Muutokset wpa_supplicantille:
- Lisätty tuki tukiasematilan asetuksille SAE:lle (WPA3-Personal).
- P802.11P-tilan tuki on toteutettu EDMG-kanaville (IEEE 2ay).
- Parannettu suorituskyvyn ennustaminen ja BSS-valinta.
- Ohjausliittymää D-Busin kautta on laajennettu.
- Uusi taustaohjelma on lisätty salasanojen tallentamista varten erilliseen tiedostoon, jonka avulla voit poistaa arkaluonteisia tietoja pääasetustiedostosta.
- Lisätty uusia käytäntöjä SCS:lle, MSCS:lle ja DSCP:lle.
Lähde: opennet.ru