ProHoster > Blog > internetes hírek > A hostapd és a wpa_supplicant 2.10 kiadása

A hostapd és a wpa_supplicant 2.10 kiadása

Másfél éves fejlesztés után elkészült a hostapd/wpa_supplicant 2.10 kiadása, az IEEE 802.1X, WPA, WPA2, WPA3 és EAP vezeték nélküli protokollok futtatására alkalmas készlet, amely a wpa_supplicant alkalmazásból áll a vezeték nélküli hálózathoz való csatlakozáshoz ügyfélként és a hostapd háttérfolyamatként a hozzáférési pont és a hitelesítési kiszolgáló futtatásához, beleértve az olyan összetevőket, mint a WPA Authenticator, RADIUS hitelesítési kliens/szerver, EAP-kiszolgáló. A projekt forráskódja a BSD licenc alatt kerül terjesztésre.

A funkcionális változtatások mellett az új verzió blokkol egy új oldalcsatornás támadási vektort, amely a SAE (Simultaneous Authentication of Equals) kapcsolategyeztetési módszert és az EAP-pwd protokollt érinti. Az a támadó, aki képes privilegizált kódot futtatni a vezeték nélküli hálózathoz csatlakozó felhasználó rendszerén, a rendszeren végzett tevékenység figyelésével információkat szerezhet a jelszó jellemzőiről, és felhasználhatja azt a jelszókitalálás egyszerűsítésére offline módban. A problémát az okozza, hogy harmadik felek csatornáin keresztül szivárognak ki a jelszó jellemzőire vonatkozó információk, amelyek lehetővé teszik a közvetett adatok, például a műveletek során bekövetkezett késések változásai alapján a jelszó egyes részei kiválasztásának helyességének tisztázását. kiválasztásának folyamata.

A 2019-ben javított hasonló problémákkal ellentétben az új biztonsági rést az okozza, hogy a crypto_ec_point_solve_y_coord() függvényben használt külső kriptográfiai primitívek nem biztosítottak állandó végrehajtási időt, függetlenül a feldolgozott adatok természetétől. A processzor gyorsítótár viselkedésének elemzése alapján az a támadó, aki képes volt jogosultság nélküli kódot futtatni ugyanazon a processzormagon, információkat szerezhetett a SAE/EAP-pwd jelszavas műveleteinek előrehaladásáról. A probléma a wpa_supplicant és a hostapd összes olyan verzióját érinti, amelyek SAE (CONFIG_SAE=y) és EAP-pwd (CONFIG_EAP_PWD=y) támogatással vannak lefordítva.

Egyéb változások a hostapd és a wpa_supplicant új kiadásaiban:

  • Az OpenSSL 3.0 kriptográfiai könyvtárral való építés lehetősége hozzáadva.
  • A WPA3 specifikáció-frissítésben javasolt Beacon Protection mechanizmust a Beacon-keretek változásait manipuláló vezeték nélküli hálózatot érő aktív támadások elleni védelemre tervezték.
  • Hozzáadott DPP 2 (Wi-Fi Device Provisioning Protocol) támogatása, amely meghatározza a WPA3 szabványban használt nyilvános kulcsú hitelesítési módszert az eszközök egyszerűsített konfigurálásához képernyőn megjelenő interfész nélkül. A beállítás egy másik, a vezeték nélküli hálózathoz már csatlakoztatott fejlettebb eszközzel történik. Például egy képernyő nélküli IoT-eszköz paraméterei okostelefonról állíthatók be a tokra nyomtatott QR-kód pillanatképe alapján;
  • Az Extended Key ID (IEEE 802.11-2016) támogatása hozzáadva.
  • A SAE-kapcsolat egyeztetési módszer megvalósítása a SAE-PK (SAE nyilvános kulcs) biztonsági mechanizmus támogatásával bővült. Az azonnali visszaigazolás küldésére szolgáló módot a „sae_config_immediate=1” opció engedélyezi, valamint egy hash-to-element mechanizmust, amely akkor engedélyezhető, ha a sae_pwe paraméter 1-re vagy 2-re van állítva.
  • Az EAP-TLS megvalósítás támogatja a TLS 1.3-at (alapértelmezés szerint le van tiltva).
  • Új beállítások (max_auth_rounds, max_auth_rounds_short) hozzáadva az EAP-üzenetek számának korlátozásához a hitelesítési folyamat során (nagyon nagy tanúsítványok használata esetén a korlátok módosítására lehet szükség).
  • Hozzáadott támogatás a PASN (Pre Association Security Negotiation) mechanizmushoz a biztonságos kapcsolat létrehozásához és a vezérlőkeretek cseréjének védelméhez egy korábbi csatlakozási szakaszban.
  • Bevezették az Átmeneti letiltási mechanizmust, amely lehetővé teszi a roaming mód automatikus letiltását, amely lehetővé teszi a hozzáférési pontok közötti váltást mozgás közben, a biztonság fokozása érdekében.
  • A WEP protokoll támogatása ki van zárva az alapértelmezett buildekből (a CONFIG_WEP=y opcióval történő újraépítés szükséges a WEP-támogatás visszaállításához). Eltávolítottuk az Inter-Access Point Protocolhoz (IAPP) kapcsolódó régi funkciókat. A libnl 1.1 támogatása megszűnt. A CONFIG_NO_TKIP=y összeállítási opció hozzáadva a TKIP támogatás nélküli buildekhez.
  • Javítva az UPnP-megvalósítás (CVE-2020-12695), a P2P/Wi-Fi Direct kezelő (CVE-2021-27803) és a PMF-védelmi mechanizmus (CVE-2019-16275) biztonsági rései.
  • A Hostapd-specifikus változtatások közé tartozik a HEW (High-Efficiency Wireless, IEEE 802.11ax) vezeték nélküli hálózatok kiterjesztett támogatása, beleértve a 6 GHz-es frekvenciatartomány használatának lehetőségét is.
  • A wpa_supplicant specifikus változásai:
    • Támogatás hozzáadva a hozzáférési pont mód beállításainak SAE (WPA3-Personal) számára.
    • A P802.11P mód támogatása az EDMG csatornákhoz való (IEEE 2ay).
    • Továbbfejlesztett átviteli előrejelzés és BSS-választás.
    • Bővült a D-buszon keresztüli vezérlési felület.
    • Új háttérprogram került hozzáadásra a jelszavak külön fájlban való tárolására, amely lehetővé teszi a bizalmas információk eltávolítását a fő konfigurációs fájlból.
    • Új házirendek hozzáadva az SCS, MSCS és DSCP számára.

Forrás: opennet.ru

Hozzászólás