ProHoster > Blog > nouvèl sou entènèt > Liberasyon hostapd ak wpa_supplicant 2.10

Liberasyon hostapd ak wpa_supplicant 2.10

Apre yon ane ak yon mwatye nan devlopman, yo te prepare liberasyon an nan hostapd/wpa_supplicant 2.10, yon seri pou sipòte pwotokòl san fil IEEE 802.1X, WPA, WPA2, WPA3 ak EAP, ki fòme ak aplikasyon wpa_supplicant pou konekte ak yon rezo san fil. kòm yon kliyan ak pwosesis la background hostapd bay operasyon nan pwen an aksè ak yon sèvè otantifikasyon, ki gen ladan eleman tankou WPA Authenticator, RADIUS otantifikasyon kliyan/sèvè, sèvè EAP. Kòd sous pwojè a distribye anba lisans BSD.

Anplis de chanjman fonksyonèl, nouvo vèsyon an bloke yon nouvo vektè atak bò-chanèl ki afekte metòd negosyasyon koneksyon SAE (Similtaneous Authentication of Equals) ak pwotokòl EAP-pwd la. Yon atakè ki gen kapasite pou egzekite kòd san privilèj sou sistèm yon itilizatè ki konekte nan yon rezo san fil ka, lè li kontwole aktivite sou sistèm nan, jwenn enfòmasyon sou karakteristik modpas yo epi sèvi ak yo pou senplifye modpas devine nan mòd offline. Pwoblèm nan ki te koze pa flit la atravè chanèl twazyèm pati nan enfòmasyon sou karakteristik sa yo nan modpas la, ki pèmèt, ki baze sou done endirèk, tankou chanjman nan reta pandan operasyon yo, klarifye kòrèkteman nan chwa nan pati nan modpas la nan. pwosesis pou chwazi li.

Kontrèman ak pwoblèm ki sanble yo te fikse nan 2019, nouvo vilnerabilite ki te koze pa lefèt ke primitif kriptografik ekstèn yo te itilize nan fonksyon crypto_ec_point_solve_y_coord() pa t bay yon tan egzekisyon konstan, kèlkeswa nati done yo te trete yo. Dapre analiz de konpòtman kachèt processeur a, yon atakè ki te gen kapasite pou kouri kòd san privilèj sou menm nwayo processeur a te kapab jwenn enfòmasyon sou pwogrè modpas operasyon yo nan SAE/EAP-pwd. Pwoblèm nan afekte tout vèsyon wpa_supplicant ak hostapd konpile ak sipò pou SAE (CONFIG_SAE=y) ak EAP-pwd (CONFIG_EAP_PWD=y).

Lòt chanjman nan nouvo degaje hostapd ak wpa_supplicant:

  • Te ajoute kapasite pou konstwi ak bibliyotèk kriptografik OpenSSL 3.0.
  • Mekanis Pwoteksyon Beacon yo pwopoze nan aktyalizasyon spesifikasyon WPA3 yo te aplike, ki fèt pou pwoteje kont atak aktif sou rezo san fil ki manipile chanjman nan ankadreman Beacon.
  • Te ajoute sipò pou DPP 2 (Wi-Fi Device Provisioning Protocol), ki defini metòd otantifikasyon kle piblik yo itilize nan estanda WPA3 pou konfigirasyon senplifye aparèy san yon koòdone sou ekran. Enstalasyon fèt lè l sèvi avèk yon lòt aparèy ki pi avanse ki deja konekte ak rezo san fil la. Pou egzanp, paramèt pou yon aparèy IoT san yon ekran yo ka mete nan yon smartphone ki baze sou yon snapshot nan yon kòd QR enprime sou ka a;
  • Te ajoute sipò pou ID kle pwolonje (IEEE 802.11-2016).
  • Sipò pou mekanis sekirite SAE-PK (SAE Public Key) te ajoute nan aplikasyon metòd negosyasyon koneksyon SAE. Yon mòd pou voye konfimasyon imedyatman aplike, aktive pa opsyon "sae_config_immediate = 1" la, osi byen ke yon mekanis hash-a-element, aktive lè paramèt sae_pwe yo mete sou 1 oswa 2.
  • Aplikasyon EAP-TLS te ajoute sipò pou TLS 1.3 (enfim pa defo).
  • Te ajoute nouvo paramèt (max_auth_rounds, max_auth_rounds_short) pou chanje limit yo sou kantite mesaj EAP pandan pwosesis otantifikasyon an (chanjman nan limit yo ka mande lè w ap itilize gwo sètifika).
  • Te ajoute sipò pou mekanis PSN (Pre Association Sekirite Negosyasyon) pou etabli yon koneksyon an sekirite ak pwoteje echanj ankadreman kontwòl nan yon etap koneksyon pi bonè.
  • Mekanis Enfim Tranzisyon an te aplike, ki pèmèt ou otomatikman enfim mòd itinérance, ki pèmèt ou chanje ant pwen aksè pandan w ap deplase, pou amelyore sekirite.
  • Sipò pou pwotokòl WEP a eskli nan konstriksyon default (rebati ak opsyon CONFIG_WEP=y la oblije retounen sipò WEP). Retire eritaj fonksyonalite ki gen rapò ak Inter-Access Point Protocol (IAPP). Sipò pou libnl 1.1 sispann. Te ajoute opsyon konstriksyon CONFIG_NO_TKIP=y pou bati san sipò TKIP.
  • Te fikse frajilite nan aplikasyon UPnP (CVE-2020-12695), nan moun kap okipe P2P/Wi-Fi Direct (CVE-2021-27803) ak nan mekanis pwoteksyon PMF (CVE-2019-16275).
  • Chanjman espesifik Hostapd yo enkli sipò elaji pou rezo san fil HEW (High-Efficiency Wireless, IEEE 802.11ax), ki gen ladan kapasite pou itilize ranje frekans 6 GHz.
  • Chanjman espesifik wpa_supplicant:
    • Te ajoute sipò pou anviwònman mòd pwen aksè pou SAE (WPA3-Psonèl).
    • Sipò mòd P802.11P aplike pou chanèl EDMG (IEEE 2ay).
    • Amelyore prediksyon debi ak seleksyon BSS.
    • Koòdone kontwòl la atravè D-Bus te elaji.
    • Yo te ajoute yon nouvo backend pou estoke modpas nan yon fichye separe, sa ki pèmèt ou retire enfòmasyon sansib nan dosye konfigirasyon prensipal la.
    • Te ajoute nouvo règleman pou SCS, MSCS ak DSCP.

Sous: opennet.ru

Add nouvo kòmantè