Eftir eitt og hálft ár af þróun hefur útgáfa hostapd/wpa_supplicant 2.10 verið undirbúin, sett til að styðja við þráðlausu samskiptareglurnar IEEE 802.1X, WPA, WPA2, WPA3 og EAP, sem samanstendur af wpa_supplicant forritinu til að tengjast þráðlausu neti sem viðskiptavinur og hostapd bakgrunnsferlið til að veita rekstur aðgangsstaðarins og auðkenningarmiðlarans, þar á meðal íhluti eins og WPA Authenticator, RADIUS auðkenningarbiðlara/miðlara, EAP miðlara. Frumkóði verkefnisins er dreift undir BSD leyfinu.
Auk hagnýtra breytinga hindrar nýja útgáfan nýjan hliðarrásarárásarvektor sem hefur áhrif á SAE (Simultaneous Authentication of Equals) tengingarviðræður og EAP-pwd samskiptareglur. Árásarmaður sem hefur getu til að keyra forréttindakóða á kerfi notanda sem tengist þráðlausu neti getur, með því að fylgjast með virkni í kerfinu, fengið upplýsingar um eiginleika lykilorða og notað þær til að einfalda giska á lykilorð í ótengdum ham. Vandamálið stafar af leka í gegnum rásir þriðja aðila upplýsinga um eiginleika lykilorðsins, sem gerir, byggt á óbeinum gögnum, svo sem breytingum á töfum á aðgerðum, kleift að skýra réttmæti val á hlutum lykilorðsins í ferlið við að velja það.
Ólíkt svipuðum málum sem voru lagfærð árið 2019, stafar nýja varnarleysið af því að ytri dulmáls frumstæður sem notaðar voru í crypto_ec_point_solve_y_coord() aðgerðinni veittu ekki stöðugan framkvæmdartíma, óháð eðli gagna sem unnið var með. Byggt á greiningu á hegðun skyndiminni örgjörva gæti árásarmaður sem hafði getu til að keyra óforréttindakóða á sama örgjörvakjarna fengið upplýsingar um framvindu lykilorðaaðgerða í SAE/EAP-pwd. Vandamálið hefur áhrif á allar útgáfur af wpa_supplicant og hostapd sem eru settar saman með stuðningi fyrir SAE (CONFIG_SAE=y) og EAP-pwd (CONFIG_EAP_PWD=y).
Aðrar breytingar á nýjum útgáfum af hostapd og wpa_supplicant:
- Bætti við hæfileikanum til að byggja með OpenSSL 3.0 dulritunarsafninu.
- Beacon Protection kerfi sem lagt er til í WPA3 forskriftaruppfærslunni hefur verið innleitt, hannað til að vernda gegn virkum árásum á þráðlausa netið sem vinna með breytingar á Beacon ramma.
- Bætt við stuðningi við DPP 2 (Wi-Fi Device Provisioning Protocol), sem skilgreinir auðkenningaraðferð almenningslykils sem notuð er í WPA3 staðlinum fyrir einfaldaða uppsetningu tækja án skjáviðmóts. Uppsetningin fer fram með öðru fullkomnari tæki sem þegar er tengt við þráðlausa netið. Til dæmis er hægt að stilla færibreytur fyrir IoT tæki án skjás úr snjallsíma byggt á skyndimynd af QR kóða sem prentaður er á hulstrið;
- Bætt við stuðningi við aukið lykilauðkenni (IEEE 802.11-2016).
- Stuðningur við SAE-PK (SAE Public Key) öryggiskerfi hefur verið bætt við innleiðingu á samningaviðræðum um SAE tengingar. Stilling til að senda staðfestingu samstundis er innleidd, virkjuð með „sae_config_immediate=1“ valmöguleikanum, sem og hash-to-element vélbúnaður, virkjaður þegar sae_pwe færibreytan er stillt á 1 eða 2.
- EAP-TLS útfærslan hefur bætt við stuðningi við TLS 1.3 (sjálfgefið óvirkt).
- Bætt við nýjum stillingum (max_auth_rounds, max_auth_rounds_short) til að breyta takmörkunum á fjölda EAP skilaboða meðan á auðkenningarferlinu stendur (breytingar á takmörkunum gætu verið nauðsynlegar þegar mjög stór vottorð eru notuð).
- Bætti við stuðningi við PASN (Pre Association Security Negotiation) vélbúnaðinn til að koma á öruggri tengingu og vernda skipti á stýrisramma á fyrri tengingarstigi.
- Transition Disable vélbúnaðurinn hefur verið innleiddur, sem gerir þér kleift að slökkva sjálfkrafa á reikiham, sem gerir þér kleift að skipta á milli aðgangsstaða þegar þú ferð, til að auka öryggi.
- Stuðningur við WEP samskiptareglur er útilokaður frá sjálfgefnum byggingum (endurbygging með CONFIG_WEP=y valkostinum er nauðsynleg til að skila WEP stuðningi). Fjarlægði eldri virkni sem tengist Inter-Access Point Protocol (IAPP). Stuðningur við libnl 1.1 hefur verið hætt. Bætt við byggingarvalkosti CONFIG_NO_TKIP=y fyrir smíði án TKIP-stuðnings.
- Lagað varnarleysi í UPnP útfærslu (CVE-2020-12695), í P2P/Wi-Fi Direct meðhöndlun (CVE-2021-27803) og í PMF verndarkerfi (CVE-2019-16275).
- Hostapd-sértækar breytingar fela í sér aukinn stuðning fyrir HEW (High-Efficiency Wireless, IEEE 802.11ax) þráðlaus netkerfi, þar á meðal getu til að nota 6 GHz tíðnisviðið.
- Breytingar sérstaklega fyrir wpa_supplicant:
- Bætti við stuðningi við stillingar aðgangsstaða fyrir SAE (WPA3-Personal).
- P802.11P stillingarstuðningur er útfærður fyrir EDMG rásir (IEEE 2ay).
- Bætt spá um afköst og BSS val.
- Stýriviðmótið í gegnum D-Bus hefur verið stækkað.
- Nýr bakendi hefur verið bætt við til að geyma lykilorð í sérstakri skrá, sem gerir þér kleift að fjarlægja viðkvæmar upplýsingar úr aðalstillingarskránni.
- Bætt við nýjum reglum fyrir SCS, MSCS og DSCP.
Heimild: opennet.ru