ProHoster > Օրագիր > ինտերնետ նորություններ > Hostapd-ի և wpa_supplicant-ի թողարկում 2.10

Hostapd-ի և wpa_supplicant-ի թողարկում 2.10

Մեկուկես տարի մշակումից հետո պատրաստվել է hostapd/wpa_supplicant 2.10-ի թողարկումը՝ IEEE 802.1X, WPA, WPA2, WPA3 և EAP անլար արձանագրությունների աջակցման հավաքածու, որը բաղկացած է wpa_supplicant հավելվածից՝ անլար ցանցին միանալու համար։ որպես հաճախորդ և hostapd-ի ֆոնային գործընթաց՝ մուտքի կետի և նույնականացման սերվերի շահագործումն ապահովելու համար, ներառյալ այնպիսի բաղադրիչներ, ինչպիսիք են WPA Authenticator-ը, RADIUS վավերացման հաճախորդը/սերվերը, EAP սերվերը: Նախագծի սկզբնական կոդը տարածվում է BSD լիցենզիայի ներքո:

Բացի ֆունկցիոնալ փոփոխություններից, նոր տարբերակը արգելափակում է նոր կողային ալիքի հարձակման վեկտորը, որը ազդում է SAE (Հավասարների միաժամանակյա վավերացում) կապի բանակցային մեթոդի և EAP-pwd արձանագրության վրա: Հարձակվողը, ով ունի անլար ցանցին միացած օգտատիրոջ համակարգում անարտոնյալ կոդ գործարկելու հնարավորություն, կարող է համակարգի գործունեության մոնիտորինգի միջոցով տեղեկատվություն ստանալ գաղտնաբառի բնութագրերի մասին և օգտագործել դրանք՝ պարզեցնելու համար գաղտնաբառի գուշակումը անցանց ռեժիմում: Խնդիրն առաջանում է գաղտնաբառի բնութագրերի մասին տեղեկատվության երրորդ կողմի ուղիներով արտահոսքից, ինչը թույլ է տալիս անուղղակի տվյալների հիման վրա, ինչպիսիք են գործողությունների ընթացքում ուշացումների փոփոխությունները, պարզաբանել գաղտնաբառի մասերի ընտրության ճիշտությունը: դրա ընտրության գործընթացը։

Ի տարբերություն 2019-ին ֆիքսված նմանատիպ խնդիրների, նոր խոցելիությունը պայմանավորված է նրանով, որ crypto_ec_point_solve_y_coord() ֆունկցիայի մեջ օգտագործվող արտաքին գաղտնագրային պարզունակները չեն ապահովել մշտական ​​կատարման ժամանակ՝ անկախ մշակվող տվյալների բնույթից: Պրոցեսորի քեշի վարքագծի վերլուծության հիման վրա հարձակվողը, որն ուներ նույն պրոցեսորի միջուկի վրա չարտոնյալ կոդ գործարկելու հնարավորություն, կարող էր տեղեկատվություն ստանալ SAE/EAP-pwd-ում գաղտնաբառի գործողությունների առաջընթացի մասին: Խնդիրն ազդում է wpa_supplicant-ի և hostapd-ի բոլոր տարբերակների վրա, որոնք կազմվել են SAE (CONFIG_SAE=y) և EAP-pwd (CONFIG_EAP_PWD=y) աջակցությամբ:

Այլ փոփոխություններ hostapd-ի և wpa_supplicant-ի նոր թողարկումներում.

  • Ավելացվեց OpenSSL 3.0 ծածկագրային գրադարանով կառուցելու հնարավորություն:
  • Իրականացվել է «WPA3» բնութագրերի թարմացումում առաջարկված «Beacon Protection» մեխանիզմը, որը նախատեսված է անլար ցանցի վրա ակտիվ հարձակումներից պաշտպանվելու համար, որոնք շահարկում են «Beacon» շրջանակների փոփոխությունները:
  • Ավելացվել է DPP 2-ի աջակցություն (Wi-Fi Device Provisioning Protocol), որը սահմանում է WPA3 ստանդարտում օգտագործվող հանրային բանալու նույնականացման մեթոդը՝ առանց էկրանի ինտերֆեյսի սարքերի պարզեցված կազմաձևման համար: Կարգավորումն իրականացվում է մեկ այլ ավելի առաջադեմ սարքի միջոցով, որն արդեն միացված է անլար ցանցին: Օրինակ՝ առանց էկրանի IoT սարքի պարամետրերը կարող են սահմանվել սմարթֆոնից՝ գործի վրա տպված QR կոդի նկարի հիման վրա.
  • Ավելացվել է Extended Key ID-ի աջակցություն (IEEE 802.11-2016):
  • SAE-PK (SAE Public Key) անվտանգության մեխանիզմի աջակցությունը ավելացվել է SAE կապի բանակցային մեթոդի իրականացմանը: Իրականացվում է հաստատման ակնթարթային ուղարկման ռեժիմ, որը միացված է «sae_config_immediate=1» տարբերակով, ինչպես նաև հեշ-տարր մեխանիզմ, որը միացված է, երբ sae_pwe պարամետրը դրված է 1 կամ 2:
  • EAP-TLS իրականացումն ավելացրել է աջակցություն TLS 1.3-ի համար (կանխադրված անջատված է):
  • Ավելացվել են նոր կարգավորումներ (max_auth_rounds, max_auth_rounds_short)՝ նույնականացման գործընթացում EAP հաղորդագրությունների քանակի սահմանափակումները փոխելու համար (սահմանների փոփոխություններ կարող են պահանջվել շատ մեծ վկայագրեր օգտագործելիս):
  • Ավելացվել է աջակցություն PASN-ին (Pre Association Security Negotiation)՝ անվտանգ կապ հաստատելու և ավելի վաղ միացման փուլում կառավարման շրջանակների փոխանակումը պաշտպանելու համար:
  • Ներդրվել է Transition Disable մեխանիզմը, որը թույլ է տալիս ավտոմատ կերպով անջատել ռոումինգի ռեժիմը, որը թույլ է տալիս շարժվելիս անցնել մուտքի կետերի միջև՝ բարձրացնելով անվտանգությունը:
  • WEP արձանագրության աջակցությունը բացառված է լռելյայն կառուցումներից (ՎԷՊ-ի աջակցությունը վերադարձնելու համար պահանջվում է CONFIG_WEP=y տարբերակով վերակառուցում): Հեռացվել է ժառանգական գործառույթը՝ կապված Inter-Access Point Protocol-ի (IAPP) հետ: Libnl 1.1-ի աջակցությունը դադարեցվել է: Ավելացվեց կառուցման տարբերակ CONFIG_NO_TKIP=y առանց TKIP աջակցության կառուցումների համար:
  • Ուղղվել են UPnP ներդրման (CVE-2020-12695), P2P/Wi-Fi Direct կարգավորիչի (CVE-2021-27803) և PMF պաշտպանության մեխանիզմի (CVE-2019-16275) խոցելիությունը:
  • Hostapd-ին հատուկ փոփոխությունները ներառում են HEW (High-Efficiency Wireless, IEEE 802.11ax) անլար ցանցերի ընդլայնված աջակցություն, ներառյալ 6 ԳՀց հաճախականության տիրույթն օգտագործելու հնարավորությունը:
  • wpa_supplicant-ին հատուկ փոփոխություններ.
    • Ավելացվեց մուտքի կետի ռեժիմի կարգավորումների աջակցություն SAE-ի համար (WPA3-Personal):
    • P802.11P ռեժիմի աջակցությունն իրականացվում է EDMG ալիքների համար (IEEE 2ay):
    • Բարելավված թողունակության կանխատեսում և BSS ընտրություն:
    • Ընդլայնվել է D-Bus-ի միջոցով կառավարման ինտերֆեյսը:
    • գաղտնաբառերը առանձին ֆայլում պահելու համար ավելացվել է նոր հետին պլան, որը թույլ է տալիս հեռացնել զգայուն տեղեկատվությունը հիմնական կազմաձևման ֆայլից:
    • Ավելացվել է նոր քաղաքականություն SCS-ի, MSCS-ի և DSCP-ի համար:

Source: opennet.ru

Добавить комментарий