ProHoster > Blog > noticias de internet > Lanzamento de hostapd e wpa_supplicant 2.10

Lanzamento de hostapd e wpa_supplicant 2.10

Despois de ano e medio de desenvolvemento, preparouse o lanzamento de hostapd/wpa_supplicant 2.10, un conxunto para soportar os protocolos sen fíos IEEE 802.1X, WPA, WPA2, WPA3 e EAP, que consiste na aplicación wpa_supplicant para conectarse a unha rede sen fíos. como cliente e o proceso en segundo plano de hostapd para proporcionar o funcionamento do punto de acceso e un servidor de autenticación, incluíndo compoñentes como WPA Authenticator, cliente/servidor de autenticación RADIUS, servidor EAP. O código fonte do proxecto distribúese baixo a licenza BSD.

Ademais dos cambios funcionais, a nova versión bloquea un novo vector de ataque de canle lateral que afecta ao método de negociación de conexión SAE (Simultaneous Authentication of Equals) e ao protocolo EAP-pwd. Un atacante que ten a capacidade de executar código sen privilexios no sistema dun usuario que se conecta a unha rede sen fíos pode, supervisando a actividade no sistema, obter información sobre as características do contrasinal e utilizalas para simplificar a adiviñación de contrasinal no modo sen conexión. O problema prodúcese pola fuga a través de canles de terceiros de información sobre as características do contrasinal, o que permite, en base a datos indirectos, como cambios nos atrasos durante as operacións, aclarar a corrección da elección das partes do contrasinal en o proceso de selección dela.

A diferenza de problemas similares resoltos en 2019, a nova vulnerabilidade débese ao feito de que as primitivas criptográficas externas utilizadas na función crypto_ec_point_solve_y_coord() non proporcionaron un tempo de execución constante, independentemente da natureza dos datos que se procesaban. A partir da análise do comportamento da caché do procesador, un atacante que tivese a capacidade de executar código sen privilexios no mesmo núcleo do procesador podería obter información sobre o progreso das operacións de contrasinais en SAE/EAP-pwd. O problema afecta a todas as versións de wpa_supplicant e hostapd compiladas con soporte para SAE (CONFIG_SAE=y) e EAP-pwd (CONFIG_EAP_PWD=y).

Outros cambios nas novas versións de hostapd e wpa_supplicant:

  • Engadida a posibilidade de construír coa biblioteca criptográfica OpenSSL 3.0.
  • Implementouse o mecanismo Beacon Protection proposto na actualización da especificación WPA3, deseñado para protexer contra ataques activos á rede sen fíos que manipulan os cambios nas tramas Beacon.
  • Engadiuse compatibilidade con DPP 2 (Wi-Fi Device Provisioning Protocol), que define o método de autenticación de clave pública utilizado no estándar WPA3 para a configuración simplificada de dispositivos sen interface en pantalla. A configuración realízase mediante outro dispositivo máis avanzado xa conectado á rede sen fíos. Por exemplo, os parámetros dun dispositivo IoT sen pantalla pódense configurar desde un teléfono intelixente baseándose nunha instantánea dun código QR impreso no caso;
  • Engadiuse compatibilidade con ID de chave estendida (IEEE 802.11-2016).
  • Engadiuse soporte ao mecanismo de seguranza SAE-PK (chave pública SAE) á implementación do método de negociación de conexión SAE. Implémentase un modo de envío instantáneo de confirmación, habilitado pola opción "sae_config_immediate=1", así como un mecanismo de hash-to-element, habilitado cando o parámetro sae_pwe se establece en 1 ou 2.
  • A implementación de EAP-TLS engadiu compatibilidade con TLS 1.3 (desactivado por defecto).
  • Engadíronse novas opcións de configuración (max_auth_rounds, max_auth_rounds_short) para cambiar os límites do número de mensaxes EAP durante o proceso de autenticación (poden ser necesarios cambios nos límites cando se usan certificados moi grandes).
  • Engadido soporte para o mecanismo PSN (Negociación de Seguridade Pre Asociación) para establecer unha conexión segura e protexer o intercambio de marcos de control nunha fase de conexión anterior.
  • Implementouse o mecanismo de desactivación de transición, que che permite desactivar automaticamente o modo de itinerancia, que che permite cambiar entre os puntos de acceso mentres te moves, para mellorar a seguridade.
  • O soporte para o protocolo WEP está excluído das compilacións predeterminadas (requírese reconstruír coa opción CONFIG_WEP=y para devolver a compatibilidade con WEP). Eliminouse a funcionalidade antiga relacionada co Protocolo de puntos de acceso intermedio (IAPP). O soporte para libnl 1.1 foi descontinuado. Engadiuse a opción de compilación CONFIG_NO_TKIP=y para compilacións sen compatibilidade con TKIP.
  • Solucionáronse vulnerabilidades na implementación UPnP (CVE-2020-12695), no manejador P2P/Wi-Fi Direct (CVE-2021-27803) e no mecanismo de protección PMF (CVE-2019-16275).
  • Os cambios específicos de Hostapd inclúen compatibilidade ampliada para redes sen fíos HEW (High-Efficiency Wireless, IEEE 802.11ax), incluída a capacidade de usar o rango de frecuencia de 6 GHz.
  • Cambios específicos para wpa_supplicant:
    • Engadido soporte para a configuración do modo de punto de acceso para SAE (WPA3-Personal).
    • O soporte do modo P802.11P está implementado para as canles EDMG (IEEE 2ay).
    • Mellora a predición do rendemento e a selección de BSS.
    • A interface de control a través de D-Bus foi ampliada.
    • Engadiuse un novo backend para almacenar os contrasinais nun ficheiro separado, o que lle permite eliminar información confidencial do ficheiro de configuración principal.
    • Engadíronse novas políticas para SCS, MSCS e DSCP.

Fonte: opennet.ru

Engadir un comentario