ProHoster > Blog > internetske vijesti > Izdanje hostapd i wpa_supplicant 2.10

Izdanje hostapd i wpa_supplicant 2.10

Nakon godinu i pol razvoja, pripremljeno je izdanje hostapd/wpa_supplicant 2.10, skupa za podršku bežičnim protokolima IEEE 802.1X, WPA, WPA2, WPA3 i EAP, koji se sastoji od aplikacije wpa_supplicant za spajanje na bežičnu mrežu kao klijent i pozadinski proces hostapd za pružanje rada pristupne točke i autentifikacijskog poslužitelja, uključujući komponente kao što su WPA Authenticator, RADIUS autentifikacijski klijent/poslužitelj, EAP poslužitelj. Izvorni kod projekta distribuira se pod BSD licencom.

Uz funkcionalne promjene, nova verzija blokira novi vektor napada bočnog kanala koji utječe na SAE (Simultaneous Authentication of Equals) metodu pregovaranja veze i EAP-pwd protokol. Napadač koji ima mogućnost izvršavanja neprivilegiranog koda na sustavu korisnika koji se spaja na bežičnu mrežu može praćenjem aktivnosti na sustavu doći do podataka o karakteristikama lozinke i koristiti ih za pojednostavljenje pogađanja lozinke u offline modu. Problem je uzrokovan curenjem informacija o karakteristikama lozinke kroz kanale treće strane, što omogućuje, na temelju neizravnih podataka, kao što su promjene kašnjenja tijekom operacija, da se razjasni točnost odabira dijelova lozinke u proces njegovog odabira.

Za razliku od sličnih problema riješenih 2019., nova je ranjivost uzrokovana činjenicom da vanjske kriptografske primitive korištene u funkciji crypto_ec_point_solve_y_coord() nisu pružale konstantno vrijeme izvršenja, bez obzira na prirodu podataka koji se obrađuju. Na temelju analize ponašanja predmemorije procesora, napadač koji je imao mogućnost pokretanja nepovlaštenog koda na istoj jezgri procesora mogao je dobiti informacije o tijeku operacija lozinke u SAE/EAP-pwd. Problem utječe na sve verzije wpa_supplicant i hostapd kompilirane s podrškom za SAE (CONFIG_SAE=y) i EAP-pwd (CONFIG_EAP_PWD=y).

Ostale promjene u novim izdanjima hostapd i wpa_supplicant:

  • Dodana je mogućnost izrade s kriptografskom bibliotekom OpenSSL 3.0.
  • Mehanizam Beacon Protection predložen u ažuriranju specifikacije WPA3 je implementiran, dizajniran za zaštitu od aktivnih napada na bežičnu mrežu koji manipuliraju promjenama u Beacon okvirima.
  • Dodana podrška za DPP 2 (Wi-Fi Device Provisioning Protocol), koji definira metodu provjere autentičnosti s javnim ključem koja se koristi u standardu WPA3 za pojednostavljenu konfiguraciju uređaja bez sučelja na zaslonu. Postavljanje se provodi pomoću drugog naprednijeg uređaja koji je već spojen na bežičnu mrežu. Na primjer, parametri za IoT uređaj bez zaslona mogu se postaviti s pametnog telefona na temelju snimke QR koda ispisanog na kućištu;
  • Dodana podrška za Extended Key ID (IEEE 802.11-2016).
  • Podrška za sigurnosni mehanizam SAE-PK (SAE javni ključ) dodana je implementaciji metode pregovaranja SAE veze. Implementiran je način rada za trenutno slanje potvrde, omogućen opcijom “sae_config_immediate=1”, kao i mehanizam hash-to-element, omogućen kada je parametar sae_pwe postavljen na 1 ili 2.
  • Implementacija EAP-TLS-a dodala je podršku za TLS 1.3 (onemogućeno prema zadanim postavkama).
  • Dodane su nove postavke (max_auth_rounds, max_auth_rounds_short) za promjenu ograničenja broja EAP poruka tijekom procesa autentifikacije (promjene ograničenja mogu biti potrebne kada se koriste vrlo veliki certifikati).
  • Dodana podrška za PASN (Pre Association Security Negotiation) mehanizam za uspostavljanje sigurne veze i zaštitu razmjene kontrolnih okvira u ranijoj fazi povezivanja.
  • Implementiran je mehanizam za onemogućavanje prijelaza, koji vam omogućuje da automatski onemogućite način rada u roamingu, koji vam omogućuje prebacivanje između pristupnih točaka dok se krećete, kako biste poboljšali sigurnost.
  • Podrška za WEP protokol isključena je iz zadanih verzija (ponovna izgradnja s opcijom CONFIG_WEP=y potrebna je za povratak WEP podrške). Uklonjena naslijeđena funkcionalnost povezana s protokolom međupristupnih točaka (IAPP). Podrška za libnl 1.1 je prekinuta. Dodana opcija izgradnje CONFIG_NO_TKIP=y za verzije bez podrške za TKIP.
  • Ispravljene su ranjivosti u UPnP implementaciji (CVE-2020-12695), u P2P/Wi-Fi Direct rukovatelju (CVE-2021-27803) i u PMF zaštitnom mehanizmu (CVE-2019-16275).
  • Promjene specifične za Hostapd uključuju proširenu podršku za HEW (High-Efficiency Wireless, IEEE 802.11ax) bežične mreže, uključujući mogućnost korištenja frekvencijskog raspona od 6 GHz.
  • Promjene specifične za wpa_supplicant:
    • Dodana podrška za postavke načina pristupa pristupne točke za SAE (WPA3-Personal).
    • Podrška za P802.11P način rada implementirana je za EDMG kanale (IEEE 2ay).
    • Poboljšano predviđanje propusnosti i odabir BSS-a.
    • Upravljačko sučelje putem D-Busa je prošireno.
    • Dodan je novi backend za pohranjivanje lozinki u zasebnu datoteku, što vam omogućuje uklanjanje osjetljivih informacija iz glavne konfiguracijske datoteke.
    • Dodana nova pravila za SCS, MSCS i DSCP.

Izvor: opennet.ru

Dodajte komentar