ProHoster > blog > notizie internet > Rilascio di hostapd e wpa_supplicant 2.10

Rilascio di hostapd e wpa_supplicant 2.10

Dopo un anno e mezzo di sviluppo è stata preparata la versione hostapd/wpa_supplicant 2.10, un set per l'esecuzione dei protocolli wireless IEEE 802.1X, WPA, WPA2, WPA3 ed EAP, composto dall'applicazione wpa_supplicant per la connessione ad una rete wireless come client e il processo in background hostapd per eseguire il punto di accesso e un server di autenticazione, inclusi componenti come WPA Authenticator, client/server di autenticazione RADIUS, server EAP. Il codice sorgente del progetto è distribuito sotto la licenza BSD.

Oltre alle modifiche funzionali, la nuova versione blocca un nuovo vettore di attacco side-channel che colpisce il metodo di negoziazione della connessione SAE (Simultaneous Authentication of Equals) e il protocollo EAP-pwd. Un utente malintenzionato che ha la capacità di eseguire codice non privilegiato sul sistema di un utente che si connette a una rete wireless può, monitorando l'attività sul sistema, ottenere informazioni sulle caratteristiche della password e utilizzarle per semplificare l'identificazione della password in modalità offline. Il problema è causato dalla fuga attraverso canali di terze parti di informazioni sulle caratteristiche della password, che consentono, sulla base di dati indiretti, come le variazioni dei ritardi durante le operazioni, di chiarire la correttezza della scelta di parti della password in il processo di selezione.

A differenza di problemi simili risolti nel 2019, la nuova vulnerabilità è causata dal fatto che le primitive crittografiche esterne utilizzate nella funzione crypto_ec_point_solve_y_coord() non fornivano un tempo di esecuzione costante, indipendentemente dalla natura dei dati elaborati. In base all'analisi del comportamento della cache del processore, un utente malintenzionato in grado di eseguire codice senza privilegi sullo stesso core del processore potrebbe ottenere informazioni sull'avanzamento delle operazioni relative alle password in SAE/EAP-pwd. Il problema riguarda tutte le versioni di wpa_supplicant e hostapd compilate con supporto per SAE (CONFIG_SAE=y) ed EAP-pwd (CONFIG_EAP_PWD=y).

Altre modifiche nelle nuove versioni di hostapd e wpa_supplicant:

  • Aggiunta la possibilità di creare con la libreria crittografica OpenSSL 3.0.
  • È stato implementato il meccanismo Beacon Protection proposto nell'aggiornamento delle specifiche WPA3, progettato per proteggere dagli attacchi attivi alla rete wireless che manipolano le modifiche nei frame Beacon.
  • Aggiunto il supporto per DPP 2 (Wi-Fi Device Provisioning Protocol), che definisce il metodo di autenticazione a chiave pubblica utilizzato nello standard WPA3 per la configurazione semplificata dei dispositivi senza interfaccia su schermo. La configurazione viene eseguita utilizzando un altro dispositivo più avanzato già connesso alla rete wireless. Ad esempio, i parametri per un dispositivo IoT senza schermo possono essere impostati da uno smartphone sulla base di un'istantanea di un codice QR stampato sulla custodia;
  • Aggiunto supporto per ID chiave estesa (IEEE 802.11-2016).
  • All'implementazione del metodo di negoziazione della connessione SAE è stato aggiunto il supporto per il meccanismo di sicurezza SAE-PK (SAE Public Key). È implementata una modalità di invio istantaneo della conferma, abilitata dall'opzione “sae_config_immediate=1”, nonché un meccanismo di hash-to-element, abilitato quando il parametro sae_pwe è impostato su 1 o 2.
  • L'implementazione EAP-TLS ha aggiunto il supporto per TLS 1.3 (disabilitato per impostazione predefinita).
  • Aggiunte nuove impostazioni (max_auth_rounds, max_auth_rounds_short) per modificare i limiti sul numero di messaggi EAP durante il processo di autenticazione (potrebbero essere necessarie modifiche ai limiti quando si utilizzano certificati molto grandi).
  • Aggiunto il supporto per il meccanismo PASN (Pre Association Security Negotiation) per stabilire una connessione sicura e proteggere lo scambio di frame di controllo in una fase precedente della connessione.
  • È stato implementato il meccanismo Transition Disable, che consente di disattivare automaticamente la modalità roaming, che consente di passare da un punto di accesso all'altro mentre ci si sposta, per migliorare la sicurezza.
  • Il supporto per il protocollo WEP è escluso dalle build predefinite (è necessaria la ricostruzione con l'opzione CONFIG_WEP=y per restituire il supporto WEP). Funzionalità legacy rimosse relative al protocollo Inter-Access Point (IAPP). Il supporto per libnl 1.1 è stato interrotto. Aggiunta l'opzione di build CONFIG_NO_TKIP=y per build senza supporto TKIP.
  • Risolte le vulnerabilità nell'implementazione UPnP (CVE-2020-12695), nel gestore P2P/Wi-Fi Direct (CVE-2021-27803) e nel meccanismo di protezione PMF (CVE-2019-16275).
  • Le modifiche specifiche di Hostapd includono il supporto esteso per le reti wireless HEW (High-Efficiency Wireless, IEEE 802.11ax), inclusa la possibilità di utilizzare la gamma di frequenza di 6 GHz.
  • Modifiche specifiche per wpa_supplicant:
    • Aggiunto supporto per le impostazioni della modalità punto di accesso per SAE (WPA3-Personal).
    • Il supporto della modalità P802.11P è implementato per i canali EDMG (IEEE 2ay).
    • Previsione del throughput e selezione BSS migliorate.
    • L'interfaccia di controllo tramite D-Bus è stata ampliata.
    • È stato aggiunto un nuovo backend per archiviare le password in un file separato, consentendoti di rimuovere informazioni sensibili dal file di configurazione principale.
    • Aggiunte nuove policy per SCS, MSCS e DSCP.

Fonte: opennet.ru

Aggiungi un commento