Бір жарым жылдан кейін сымсыз желіге қосылуға арналған wpa_supplicant қолданбасынан тұратын IEEE 2.10X, WPA, WPA802.1, WPA2 және EAP сымсыз протоколдарын қолдауға арналған hostapd/wpa_supplicant 3 шығарылымы дайындалды. WPA Authenticator, RADIUS аутентификация клиенті/сервері, EAP сервері сияқты компоненттерді қоса, кіру нүктесі мен аутентификация серверінің жұмысын қамтамасыз ету үшін клиент және hostapd фондық процесі ретінде. Жобаның бастапқы коды BSD лицензиясы бойынша таратылады.
Функционалдық өзгерістерге қоса, жаңа нұсқа SAE (теңдіктердің бір мезгілде аутентификациясы) қосылу келіссөздер әдісіне және EAP-pwd протоколына әсер ететін жаңа бүйірлік арналы шабуыл векторын блоктайды. Сымсыз желіге қосылатын пайдаланушының жүйесінде артықшылықсыз кодты орындау мүмкіндігі бар шабуылдаушы жүйедегі әрекетті бақылау арқылы құпия сөз сипаттамалары туралы ақпаратты ала алады және оларды желіден тыс режимде құпия сөзді болжауды жеңілдету үшін пайдалана алады. Мәселе құпия сөздің сипаттамалары туралы ақпараттың үшінші тарап арналары арқылы ағып кетуінен туындайды, бұл жанама деректерге, мысалы, операциялар кезіндегі кідірістердің өзгеруіне, пароль бөліктерін таңдаудың дұрыстығын нақтылауға мүмкіндік береді. оны таңдау процесі.
2019 жылы анықталған ұқсас мәселелерден айырмашылығы, жаңа осалдық crypto_ec_point_solve_y_coord() функциясында қолданылатын сыртқы криптографиялық примитивтердің өңделетін деректердің сипатына қарамастан тұрақты орындалу уақытын қамтамасыз етпеуінен туындады. Процессор кэшінің әрекетін талдау негізінде бір процессор өзегінде артықшылықсыз кодты іске қосу мүмкіндігі бар шабуылдаушы SAE/EAP-pwd ішінде құпия сөз әрекеттерінің барысы туралы ақпаратты ала алады. Мәселе SAE (CONFIG_SAE=y) және EAP-pwd (CONFIG_EAP_PWD=y) қолдауымен құрастырылған wpa_supplicant және hostapd барлық нұсқаларына әсер етеді.
hostapd және wpa_supplicant жаңа шығарылымдарындағы басқа өзгерістер:
- OpenSSL 3.0 криптографиялық кітапханасымен құру мүмкіндігі қосылды.
- WPA3 спецификациясының жаңартуында ұсынылған Beacon Protection механизмі іске қосылды, ол Beacon кадрларындағы өзгерістерді басқаратын сымсыз желіге белсенді шабуылдардан қорғауға арналған.
- Экрандық интерфейссіз құрылғыларды оңайлатылған конфигурациялау үшін WPA2 стандартында пайдаланылатын ашық кілт аутентификация әдісін анықтайтын DPP 3 (Wi-Fi құрылғысын қамтамасыз ету протоколы) үшін қосылды. Орнату сымсыз желіге қосылған басқа жетілдірілген құрылғы арқылы жүзеге асырылады. Мысалы, экраны жоқ IoT құрылғысының параметрлерін корпуста басып шығарылған QR кодының суреті негізінде смартфоннан орнатуға болады;
- Кеңейтілген кілт идентификаторына (IEEE 802.11-2016) қолдау қосылды.
- SAE-PK (SAE ашық кілт) қауіпсіздік механизмін қолдау SAE қосылымын келіссөздер әдісін жүзеге асыруға қосылды. «sae_config_immediate=1» опциясы арқылы қосылған растауды лезде жіберу режимі, сондай-ақ sae_pwe параметрі 1 немесе 2 мәніне орнатылғанда қосылған хэш-элемент механизмі іске асырылады.
- EAP-TLS іске асыру TLS 1.3 үшін қолдауды қосты (әдепкі бойынша өшірілген).
- Аутентификация процесі кезінде EAP хабарларының санына шектеулерді өзгерту үшін жаңа параметрлер қосылды (max_auth_rounds, max_auth_rounds_short) (өте үлкен сертификаттарды пайдалану кезінде шектеулерді өзгерту қажет болуы мүмкін).
- Қауіпсіз қосылымды орнату және бұрынғы қосылу сатысында басқару кадрларының алмасуын қорғау үшін PASN (Бірлестікке дейінгі қауіпсіздік келіссөздері) механизміне қолдау қосылды.
- Қауіпсіздікті күшейту үшін қозғалыс кезінде кіру нүктелері арасында ауысуға мүмкіндік беретін роуминг режимін автоматты түрде өшіруге мүмкіндік беретін Transition Disable механизмі енгізілді.
- WEP протоколына қолдау әдепкі құрастырудан шығарылады (WEP қолдауын қайтару үшін CONFIG_WEP=y опциясымен қайта құру қажет). Inter-Access Point Protocol (IAPP) протоколына қатысты ескі функционалдылық жойылды. libnl 1.1 нұсқасына қолдау көрсету тоқтатылды. TKIP қолдауы жоқ құрастырулар үшін CONFIG_NO_TKIP=y құрастыру опциясы қосылды.
- UPnP енгізуіндегі (CVE-2020-12695), P2P/Wi-Fi Direct өңдеуішіндегі (CVE-2021-27803) және PMF қорғау механизміндегі (CVE-2019-16275) осалдықтар түзетілді.
- Hostapd-ға тән өзгерістер HEW (High-Efficiency Wireless, IEEE 802.11ax) сымсыз желілеріне кеңейтілген қолдауды, соның ішінде 6 ГГц жиілік диапазонын пайдалану мүмкіндігін қамтиды.
- wpa_supplicant-қа тән өзгерістер:
- SAE (WPA3-Жеке) үшін кіру нүктесі режимінің параметрлеріне қолдау қосылды.
- P802.11P режимін қолдау EDMG арналары үшін жүзеге асырылады (IEEE 2ay).
- Жақсартылған өткізу қабілеттілігін болжау және BSS таңдау.
- D-Bus арқылы басқару интерфейсі кеңейтілді.
- Құпия сөздерді бөлек файлда сақтау үшін негізгі конфигурация файлынан құпия ақпаратты жоюға мүмкіндік беретін жаңа сервер қосылды.
- SCS, MSCS және DSCP үшін жаңа саясаттар қосылды.
Ақпарат көзі: opennet.ru