ProHoster > blog > berita internet > Rilis hostapd dan wpa_supplicant 2.10

Rilis hostapd dan wpa_supplicant 2.10

Setelah satu setengah tahun pengembangan, rilis hostapd/wpa_supplicant 2.10 telah disiapkan, satu set untuk mendukung protokol nirkabel IEEE 802.1X, WPA, WPA2, WPA3 dan EAP, yang terdiri dari aplikasi wpa_supplicant untuk terhubung ke jaringan nirkabel sebagai klien dan proses latar belakang hostapd untuk menyediakan pengoperasian titik akses dan server otentikasi, termasuk komponen seperti WPA Authenticator, klien/server otentikasi RADIUS, server EAP. Kode sumber proyek didistribusikan di bawah lisensi BSD.

Selain perubahan fungsional, versi baru ini memblokir vektor serangan saluran samping baru yang memengaruhi metode negosiasi koneksi SAE (Simultaneous Authentication of Equals) dan protokol EAP-pwd. Seorang penyerang yang memiliki kemampuan untuk mengeksekusi kode tanpa hak istimewa pada sistem pengguna yang terhubung ke jaringan nirkabel, dengan memantau aktivitas pada sistem, memperoleh informasi tentang karakteristik kata sandi dan menggunakannya untuk menyederhanakan tebakan kata sandi dalam mode offline. Masalah ini disebabkan oleh kebocoran informasi melalui saluran pihak ketiga tentang karakteristik kata sandi, yang memungkinkan, berdasarkan data tidak langsung, seperti perubahan penundaan selama operasi, untuk memperjelas kebenaran pilihan bagian kata sandi di proses memilihnya.

Berbeda dengan masalah serupa yang diperbaiki pada tahun 2019, kerentanan baru ini disebabkan oleh fakta bahwa primitif kriptografi eksternal yang digunakan dalam fungsi crypto_ec_point_solve_y_coord() tidak memberikan waktu eksekusi yang konstan, terlepas dari sifat data yang sedang diproses. Berdasarkan analisis perilaku cache prosesor, penyerang yang memiliki kemampuan untuk menjalankan kode tanpa hak istimewa pada inti prosesor yang sama dapat memperoleh informasi tentang kemajuan operasi kata sandi di SAE/EAP-pwd. Masalah ini mempengaruhi semua versi wpa_supplicant dan hostapd yang dikompilasi dengan dukungan untuk SAE (CONFIG_SAE=y) dan EAP-pwd (CONFIG_EAP_PWD=y).

Perubahan lain pada rilis baru hostapd dan wpa_supplicant:

  • Menambahkan kemampuan untuk membangun dengan perpustakaan kriptografi OpenSSL 3.0.
  • Mekanisme Perlindungan Beacon yang diusulkan dalam pembaruan spesifikasi WPA3 telah diterapkan, dirancang untuk melindungi terhadap serangan aktif pada jaringan nirkabel yang memanipulasi perubahan dalam bingkai Beacon.
  • Menambahkan dukungan untuk DPP 2 (Protokol Penyediaan Perangkat Wi-Fi), yang mendefinisikan metode otentikasi kunci publik yang digunakan dalam standar WPA3 untuk menyederhanakan konfigurasi perangkat tanpa antarmuka di layar. Pengaturan dilakukan menggunakan perangkat lain yang lebih canggih yang sudah terhubung ke jaringan nirkabel. Misalnya, parameter untuk perangkat IoT tanpa layar dapat diatur dari ponsel cerdas berdasarkan cuplikan kode QR yang tercetak pada casing;
  • Menambahkan dukungan untuk ID Kunci yang Diperluas (IEEE 802.11-2016).
  • Dukungan untuk mekanisme keamanan SAE-PK (SAE Public Key) telah ditambahkan pada penerapan metode negosiasi koneksi SAE. Mode untuk mengirimkan konfirmasi secara instan diterapkan, diaktifkan oleh opsi β€œsae_config_immediate=1”, serta mekanisme hash-to-elemen, diaktifkan ketika parameter sae_pwe disetel ke 1 atau 2.
  • Implementasi EAP-TLS telah menambahkan dukungan untuk TLS 1.3 (dinonaktifkan secara default).
  • Menambahkan pengaturan baru (max_auth_rounds, max_auth_rounds_short) untuk mengubah batas jumlah pesan EAP selama proses otentikasi (perubahan batas mungkin diperlukan saat menggunakan sertifikat yang sangat besar).
  • Menambahkan dukungan untuk mekanisme PASN (Pre Association Security Negotiation) untuk membangun koneksi aman dan melindungi pertukaran frame kontrol pada tahap koneksi sebelumnya.
  • Mekanisme Transition Disable telah diterapkan, yang memungkinkan Anda menonaktifkan mode roaming secara otomatis, yang memungkinkan Anda beralih antar titik akses saat Anda berpindah, untuk meningkatkan keamanan.
  • Dukungan untuk protokol WEP tidak termasuk dalam build default (membangun kembali dengan opsi CONFIG_WEP=y diperlukan untuk mengembalikan dukungan WEP). Menghapus fungsionalitas lama yang terkait dengan Inter-Access Point Protocol (IAPP). Dukungan untuk libnl 1.1 telah dihentikan. Menambahkan opsi build CONFIG_NO_TKIP=y untuk build tanpa dukungan TKIP.
  • Memperbaiki kerentanan dalam implementasi UPnP (CVE-2020-12695), pada pengendali P2P/Wi-Fi Direct (CVE-2021-27803) dan dalam mekanisme perlindungan PMF (CVE-2019-16275).
  • Perubahan khusus Hostapd mencakup perluasan dukungan untuk jaringan nirkabel HEW (High-Efficiency Wireless, IEEE 802.11ax), termasuk kemampuan untuk menggunakan rentang frekuensi 6 GHz.
  • Perubahan khusus untuk wpa_supplicant:
    • Menambahkan dukungan untuk pengaturan mode titik akses untuk SAE (WPA3-Personal).
    • Dukungan mode P802.11P diterapkan untuk saluran EDMG (IEEE 2ay).
    • Peningkatan prediksi throughput dan pemilihan BSS.
    • Antarmuka kontrol melalui D-Bus telah diperluas.
    • Backend baru telah ditambahkan untuk menyimpan kata sandi dalam file terpisah, memungkinkan Anda menghapus informasi sensitif dari file konfigurasi utama.
    • Menambahkan kebijakan baru untuk SCS, MSCS dan DSCP.

Sumber: opennet.ru

Tambah komentar