ProHoster > Blog > ynternet nijs > Utjefte fan hostapd en wpa_supplicant 2.10

Utjefte fan hostapd en wpa_supplicant 2.10

Nei in jier en in heal fan ûntwikkeling is de frijlitting fan hostapd/wpa_supplicant 2.10 taret, in set foar it stypjen fan de draadloze protokollen IEEE 802.1X, WPA, WPA2, WPA3 en EAP, besteande út de wpa_supplicant-applikaasje om te ferbinen mei in draadloos netwurk as kliïnt en it hostapd-eftergrûnproses om operaasje fan it tagongspunt en in autentikaasjetsjinner te leverjen, ynklusyf komponinten lykas WPA Authenticator, RADIUS-autentikaasjekliïnt / tsjinner, EAP-tsjinner. De boarnekoade fan it projekt wurdt ferspraat ûnder de BSD-lisinsje.

Neist funksjonele feroarings blokkearret de nije ferzje in nije side-kanaal oanfalsvektor dy't ynfloed hat op 'e SAE (Simultaneous Authentication of Equals) ferbiningsûnderhannelingsmetoade en it EAP-pwd-protokol. In oanfaller dy't de mooglikheid hat om unprivileged koade út te fieren op it systeem fan in brûker dy't ferbynt mei in draadloos netwurk kin, troch tafersjoch op aktiviteit op it systeem, ynformaasje krije oer wachtwurdkarakteristiken en se brûke om it rieden fan wachtwurden yn offline modus te ferienfâldigjen. It probleem wurdt feroarsake troch it lekken troch kanalen fan tredden fan ynformaasje oer de skaaimerken fan it wachtwurd, wêrtroch, basearre op yndirekte gegevens, lykas feroaringen yn fertragingen tidens operaasjes, de krektens fan 'e kar fan dielen fan it wachtwurd yn te ferdúdlikjen. it proses fan it selektearjen.

Oars as ferlykbere problemen fêst yn 2019, wurdt de nije kwetsberens feroarsake troch it feit dat de eksterne kryptografyske primitives brûkt yn 'e crypto_ec_point_solve_y_coord () -funksje gjin konstante útfieringstiid levere, nettsjinsteande de aard fan 'e gegevens dy't wurde ferwurke. Op grûn fan 'e analyze fan it gedrach fan' e prosessor-cache koe in oanfaller dy't de mooglikheid hie om unprivileged koade op deselde prosessorkearn út te fieren ynformaasje krije oer de fuortgong fan wachtwurdoperaasjes yn SAE/EAP-pwd. It probleem hat ynfloed op alle ferzjes fan wpa_supplicant en hostapd boud mei stipe foar SAE (CONFIG_SAE = y) en EAP-pwd (CONFIG_EAP_PWD = y).

Oare feroaringen yn 'e nije releases fan hostapd en wpa_supplicant:

  • De mooglikheid tafoege om te bouwen mei de OpenSSL 3.0 kryptografyske bibleteek.
  • It Beacon Protection-meganisme foarsteld yn 'e WPA3-spesifikaasjeupdate is ymplementearre, ûntworpen om te beskermjen tsjin aktive oanfallen op it draadloze netwurk dy't feroaringen yn Beacon-frames manipulearje.
  • Stipe tafoege foar DPP 2 (Wi-Fi Device Provisioning Protocol), dy't de metoade foar iepenbiere kaai-autentikaasje definiearret brûkt yn 'e WPA3-standert foar ferienfâldige konfiguraasje fan apparaten sûnder in skermynterface. Konfiguraasje wurdt útfierd mei in oar mear avansearre apparaat dat al ferbûn is mei it draadloze netwurk. Bygelyks kinne parameters foar in IoT-apparaat sûnder in skerm ynsteld wurde fan in smartphone basearre op in momintopname fan in QR-koade printe op 'e saak;
  • Stipe tafoege foar Extended Key ID (IEEE 802.11-2016).
  • Stipe foar de SAE-PK (SAE Public Key) feiligens meganisme is tafoege oan de útfiering fan de SAE ferbining ûnderhanneling metoade. In modus foar it direkt ferstjoeren fan befêstiging wurdt ymplementearre, ynskeakele troch de "sae_config_immediate=1" opsje, lykas ek in hash-to-elemint meganisme, ynskeakele as de sae_pwe parameter is ynsteld op 1 of 2.
  • De ymplemintaasje fan EAP-TLS hat stipe tafoege foar TLS 1.3 (standert útskeakele).
  • Nije ynstellings tafoege (max_auth_rounds, max_auth_rounds_short) om de grinzen te feroarjen op it oantal EAP-berjochten tidens it autentikaasjeproses (feroarings yn grinzen kinne ferplicht wurde by it brûken fan heul grutte sertifikaten).
  • Stipe tafoege foar it PASN-meganisme (Pre Association Security Negotiation) foar it oprjochtsjen fan in feilige ferbining en it beskermjen fan de útwikseling fan kontrôleframes op in earder ferbiningstadium.
  • It Transition Disable-meganisme is ymplementearre, wêrtroch jo de roamingmodus automatysk útskeakelje kinne, wêrtroch jo kinne wikselje tusken tagongspunten as jo ferpleatse, om feiligens te ferbetterjen.
  • Stipe foar it WEP-protokol is útsletten fan standert builds (werbou mei de CONFIG_WEP=y-opsje is nedich om WEP-stipe werom te jaan). Fuortsmite legacy funksjonaliteit yn ferbân mei Inter-Access Point Protocol (IAPP). Stipe foar libnl 1.1 is stopset. Bouwopsje tafoege CONFIG_NO_TKIP=y foar builds sûnder TKIP-stipe.
  • Fêste kwetsberens yn 'e UPnP-ymplemintaasje (CVE-2020-12695), yn' e P2P / Wi-Fi Direct handler (CVE-2021-27803) en yn it PMF-beskermingsmeganisme (CVE-2019-16275).
  • Hostapd-spesifike feroarings omfetsje útwreide stipe foar HEW (High-Efficiency Wireless, IEEE 802.11ax) draadloze netwurken, ynklusyf de mooglikheid om it 6 GHz frekwinsjeberik te brûken.
  • Feroarings spesifyk foar wpa_supplicant:
    • Stipe tafoege foar ynstellings foar tagongspuntmodus foar SAE (WPA3-Persoanlik).
    • P802.11P-modusstipe wurdt ymplementearre foar EDMG-kanalen (IEEE 2ay).
    • Ferbettere trochstreamfoarsizzing en BSS-seleksje.
    • De kontrôle ynterface fia D-Bus is útwreide.
    • In nije backend is tafoege foar it bewarjen fan wachtwurden yn in apart bestân, wêrtroch jo gefoelige ynformaasje kinne fuortsmite fan it haadkonfiguraasjetriem.
    • Nij belied tafoege foar SCS, MSCS en DSCP.

Boarne: opennet.ru

Add a comment