ProHoster > Blog > actualités internet > hostapd et wpa_supplicant version 2.10

hostapd et wpa_supplicant version 2.10

Après un an et demi de développement, la sortie de hostapd/wpa_supplicant 2.10 a été préparée, un ensemble pour exécuter les protocoles sans fil IEEE 802.1X, WPA, WPA2, WPA3 et EAP, composé de l'application wpa_supplicant pour se connecter à un réseau sans fil. en tant que client et processus d'arrière-plan hostapd pour exécuter le point d'accès et un serveur d'authentification, y compris des composants tels que WPA Authenticator, client/serveur d'authentification RADIUS et serveur EAP. Le code source du projet est distribué sous licence BSD.

Outre les modifications fonctionnelles, la nouvelle version bloque un nouveau vecteur d'attaque par canal latéral affectant la méthode de négociation de connexion SAE (Simultaneous Authentication of Equals) et le protocole EAP-pwd. Un attaquant capable d'exécuter du code non privilégié sur le système d'un utilisateur connecté à un réseau sans fil peut, en surveillant l'activité sur le système, obtenir des informations sur les caractéristiques du mot de passe et les utiliser pour simplifier la recherche du mot de passe en mode hors ligne. Le problème est dû à la fuite via des canaux tiers d'informations sur les caractéristiques du mot de passe, ce qui permet, sur la base de données indirectes, telles que les modifications des délais au cours des opérations, de clarifier l'exactitude du choix des parties du mot de passe dans le processus de sélection.

Contrairement à des problèmes similaires résolus en 2019, la nouvelle vulnérabilité est due au fait que les primitives cryptographiques externes utilisées dans la fonction crypto_ec_point_solve_y_coord() ne fournissaient pas un temps d'exécution constant, quelle que soit la nature des données traitées. Sur la base de l'analyse du comportement du cache du processeur, un attaquant ayant la capacité d'exécuter du code non privilégié sur le même cœur de processeur pourrait obtenir des informations sur la progression des opérations de mot de passe dans SAE/EAP-pwd. Le problème affecte toutes les versions de wpa_supplicant et hostapd compilées avec la prise en charge de SAE (CONFIG_SAE=y) et EAP-pwd (CONFIG_EAP_PWD=y).

Autres changements dans les nouvelles versions de hostapd et wpa_supplicant :

  • Ajout de la possibilité de construire avec la bibliothèque cryptographique OpenSSL 3.0.
  • Le mécanisme Beacon Protection proposé dans la mise à jour de la spécification WPA3 a été implémenté, conçu pour protéger contre les attaques actives sur le réseau sans fil qui manipulent les modifications des trames Beacon.
  • Ajout de la prise en charge de DPP 2 (Wi-Fi Device Provisioning Protocol), qui définit la méthode d'authentification par clé publique utilisée dans la norme WPA3 pour une configuration simplifiée des appareils sans interface à l'écran. La configuration s'effectue à l'aide d'un autre appareil plus avancé déjà connecté au réseau sans fil. Par exemple, les paramètres d'un appareil IoT sans écran peuvent être définis à partir d'un smartphone sur la base d'un instantané d'un code QR imprimé sur le boîtier ;
  • Ajout de la prise en charge de l'ID de clé étendu (IEEE 802.11-2016).
  • La prise en charge du mécanisme de sécurité SAE-PK (SAE Public Key) a été ajoutée à l'implémentation de la méthode de négociation de connexion SAE. Un mode d'envoi instantané de confirmation est implémenté, activé par l'option « sae_config_immediate=1 », ainsi qu'un mécanisme de hachage vers élément, activé lorsque le paramètre sae_pwe est défini sur 1 ou 2.
  • L'implémentation EAP-TLS a ajouté la prise en charge de TLS 1.3 (désactivée par défaut).
  • Ajout de nouveaux paramètres (max_auth_rounds, max_auth_rounds_short) pour modifier les limites du nombre de messages EAP pendant le processus d'authentification (des modifications des limites peuvent être nécessaires lors de l'utilisation de certificats très volumineux).
  • Ajout de la prise en charge du mécanisme PASN (Pre Association Security Negociation) pour établir une connexion sécurisée et protéger l'échange de trames de contrôle à un stade de connexion antérieur.
  • Le mécanisme Transition Disable a été mis en œuvre, qui vous permet de désactiver automatiquement le mode itinérance, qui vous permet de basculer entre les points d'accès lorsque vous vous déplacez, pour renforcer la sécurité.
  • La prise en charge du protocole WEP est exclue des versions par défaut (la reconstruction avec l'option CONFIG_WEP=y est requise pour rétablir la prise en charge WEP). Suppression des fonctionnalités héritées liées au protocole IAPP (Inter-Access Point Protocol). La prise en charge de libnl 1.1 a été interrompue. Ajout de l'option de build CONFIG_NO_TKIP=y pour les builds sans prise en charge TKIP.
  • Correction de vulnérabilités dans l'implémentation UPnP (CVE-2020-12695), dans le gestionnaire P2P/Wi-Fi Direct (CVE-2021-27803) et dans le mécanisme de protection PMF (CVE-2019-16275).
  • Les modifications spécifiques à Hostapd incluent une prise en charge étendue des réseaux sans fil HEW (High-Efficiency Wireless, IEEE 802.11ax), y compris la possibilité d'utiliser la plage de fréquences de 6 GHz.
  • Modifications spécifiques à wpa_supplicant :
    • Ajout de la prise en charge des paramètres du mode point d'accès pour SAE (WPA3-Personal).
    • La prise en charge du mode P802.11P est implémentée pour les canaux EDMG (IEEE 2ay).
    • Amélioration de la prédiction du débit et de la sélection BSS.
    • L'interface de contrôle via D-Bus a été étendue.
    • Un nouveau backend a été ajouté pour stocker les mots de passe dans un fichier séparé, vous permettant de supprimer les informations sensibles du fichier de configuration principal.
    • Ajout de nouvelles politiques pour SCS, MSCS et DSCP.

Source: opennet.ru

Ajouter un commentaire