ការចេញផ្សាយ hostapd និង wpa_supplicant 2.10

បន្ទាប់ពីមួយឆ្នាំកន្លះនៃការអភិវឌ្ឍន៍ ការចេញផ្សាយ hostapd/wpa_supplicant 2.10 ត្រូវបានរៀបចំ ជាសំណុំសម្រាប់គាំទ្រពិធីការឥតខ្សែ IEEE 802.1X, WPA, WPA2, WPA3 និង EAP ដែលមានកម្មវិធី wpa_supplicant ដើម្បីភ្ជាប់ទៅបណ្តាញឥតខ្សែ។ ជាម៉ាស៊ីនភ្ញៀវ និងដំណើរការផ្ទៃខាងក្រោយ hostapd ដើម្បីផ្តល់ប្រតិបត្តិការនៃចំណុចចូលដំណើរការ និងម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ រួមទាំងសមាសធាតុដូចជា WPA Authenticator ម៉ាស៊ីនភ្ញៀវ/ម៉ាស៊ីនមេ ការផ្ទៀងផ្ទាត់ RADIUS ម៉ាស៊ីនមេ EAP ។ កូដប្រភពនៃគម្រោងត្រូវបានចែកចាយក្រោមអាជ្ញាប័ណ្ណ BSD ។

បន្ថែមពីលើការផ្លាស់ប្តូរមុខងារ កំណែថ្មីរារាំងវ៉ិចទ័រវាយប្រហារឆានែលចំហៀងថ្មីដែលប៉ះពាល់ដល់វិធីសាស្ត្រចរចាការតភ្ជាប់ SAE (Simultaneous Authentication of Equals) និងពិធីការ EAP-pwd ។ អ្នកវាយប្រហារដែលមានសមត្ថភាពប្រតិបត្តិកូដដែលមិនមានសិទ្ធិលើប្រព័ន្ធរបស់អ្នកប្រើប្រាស់ដែលភ្ជាប់ទៅបណ្តាញឥតខ្សែ អាចដោយការត្រួតពិនិត្យសកម្មភាពនៅលើប្រព័ន្ធ ទទួលបានព័ត៌មានអំពីលក្ខណៈពាក្យសម្ងាត់ និងប្រើពួកវាដើម្បីសម្រួលការទាយពាក្យសម្ងាត់ក្នុងរបៀបក្រៅបណ្តាញ។ បញ្ហាគឺបណ្តាលមកពីការលេចធ្លាយតាមរយៈបណ្តាញភាគីទីបីនៃព័ត៌មានអំពីលក្ខណៈនៃពាក្យសម្ងាត់ ដែលអនុញ្ញាតឱ្យផ្អែកលើទិន្នន័យដោយប្រយោល ដូចជាការផ្លាស់ប្តូរការពន្យារពេលអំឡុងពេលប្រតិបត្តិការ ដើម្បីបញ្ជាក់ភាពត្រឹមត្រូវនៃជម្រើសនៃផ្នែកនៃពាក្យសម្ងាត់នៅក្នុង ដំណើរការនៃការជ្រើសរើសវា។

មិនដូចបញ្ហាស្រដៀងគ្នាដែលត្រូវបានជួសជុលក្នុងឆ្នាំ 2019 ទេ ភាពងាយរងគ្រោះថ្មីគឺបណ្តាលមកពីការពិតដែលថា primitives cryptographic ខាងក្រៅដែលប្រើក្នុងមុខងារ crypto_ec_point_solve_y_coord() មិនផ្តល់ពេលវេលាប្រតិបត្តិថេរ ដោយមិនគិតពីលក្ខណៈនៃទិន្នន័យដែលកំពុងដំណើរការ។ ផ្អែកលើការវិភាគអំពីឥរិយាបថនៃឃ្លាំងសម្ងាត់របស់ខួរក្បាល អ្នកវាយប្រហារដែលមានសមត្ថភាពដំណើរការកូដដែលមិនមានសិទ្ធិនៅលើស្នូលដំណើរការដូចគ្នាអាចទទួលបានព័ត៌មានអំពីវឌ្ឍនភាពនៃប្រតិបត្តិការពាក្យសម្ងាត់នៅក្នុង SAE/EAP-pwd ។ បញ្ហាប៉ះពាល់ដល់កំណែទាំងអស់របស់ wpa_supplicant និង hostapd ដែលចងក្រងដោយការគាំទ្រសម្រាប់ SAE (CONFIG_SAE=y) និង EAP-pwd (CONFIG_EAP_PWD=y)។

ការផ្លាស់ប្តូរផ្សេងទៀតនៅក្នុងការចេញផ្សាយថ្មីនៃ hostapd និង wpa_supplicant:

• បានបន្ថែមសមត្ថភាពក្នុងការបង្កើតជាមួយបណ្ណាល័យ OpenSSL 3.0 គ្រីប។
• យន្តការការពារ Beacon ដែលបានស្នើឡើងនៅក្នុងការអាប់ដេតលក្ខណៈបច្ចេកទេស WPA3 ត្រូវបានអនុវត្ត ដែលត្រូវបានរចនាឡើងដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារសកម្មនៅលើបណ្តាញឥតខ្សែដែលរៀបចំការផ្លាស់ប្តូរនៅក្នុងស៊ុម Beacon ។
• បានបន្ថែមការគាំទ្រសម្រាប់ DPP 2 (Wi-Fi Device Provisioning Protocol) ដែលកំណត់វិធីសាស្ត្រផ្ទៀងផ្ទាត់សោសាធារណៈដែលប្រើក្នុងស្តង់ដារ WPA3 សម្រាប់ការកំណត់រចនាសម្ព័ន្ធឧបករណ៍សាមញ្ញដោយគ្មានចំណុចប្រទាក់នៅលើអេក្រង់។ ការដំឡើងត្រូវបានអនុវត្តដោយប្រើឧបករណ៍កម្រិតខ្ពស់ផ្សេងទៀតដែលបានភ្ជាប់ទៅបណ្តាញឥតខ្សែរួចហើយ។ ឧទាហរណ៍ ប៉ារ៉ាម៉ែត្រសម្រាប់ឧបករណ៍ IoT ដោយគ្មានអេក្រង់អាចត្រូវបានកំណត់ពីស្មាតហ្វូនដោយផ្អែកលើរូបថតនៃកូដ QR ដែលបានបោះពុម្ពលើករណី។
• បានបន្ថែមការគាំទ្រសម្រាប់ Extended Key ID (IEEE 802.11-2016)។
• ការគាំទ្រសម្រាប់យន្តការសុវត្ថិភាព SAE-PK (SAE Public Key) ត្រូវបានបន្ថែមទៅក្នុងការអនុវត្តវិធីសាស្ត្រចរចាការតភ្ជាប់ SAE ។ របៀបសម្រាប់ការផ្ញើការបញ្ជាក់ភ្លាមៗត្រូវបានអនុវត្ត បើកដោយជម្រើស “sae_config_immediate=1” ក៏ដូចជាយន្តការ hash-to-element ត្រូវបានបើកនៅពេលដែលប៉ារ៉ាម៉ែត្រ sae_pwe ត្រូវបានកំណត់ទៅ 1 ឬ 2។
• ការអនុវត្ត EAP-TLS បានបន្ថែមការគាំទ្រសម្រាប់ TLS 1.3 (បិទតាមលំនាំដើម)។
• បានបន្ថែមការកំណត់ថ្មី (max_auth_rounds, max_auth_rounds_short) ដើម្បីផ្លាស់ប្តូរដែនកំណត់លើចំនួនសារ EAP កំឡុងពេលដំណើរការផ្ទៀងផ្ទាត់ (ការផ្លាស់ប្តូរដែនកំណត់អាចត្រូវបានទាមទារនៅពេលប្រើវិញ្ញាបនបត្រធំខ្លាំង)។
• បានបន្ថែមការគាំទ្រសម្រាប់យន្តការ PASN (Pre Association Security Negotiation) សម្រាប់ការបង្កើតការតភ្ជាប់សុវត្ថិភាព និងការការពារការផ្លាស់ប្តូរស៊ុមត្រួតពិនិត្យនៅដំណាក់កាលតភ្ជាប់មុន។
• យន្តការបិទដំណើរការផ្លាស់ប្តូរត្រូវបានអនុវត្ត ដែលអនុញ្ញាតឱ្យអ្នកបិទមុខងាររ៉ូមីងដោយស្វ័យប្រវត្តិ ដែលអនុញ្ញាតឱ្យអ្នកប្តូររវាងចំណុចចូលដំណើរការនៅពេលអ្នកផ្លាស់ទី ដើម្បីបង្កើនសុវត្ថិភាព។
• ការគាំទ្រសម្រាប់ពិធីការ WEP មិនត្រូវបានរាប់បញ្ចូលពីការបង្កើតលំនាំដើម (ការស្ថាបនាឡើងវិញជាមួយនឹងជម្រើស CONFIG_WEP=y គឺត្រូវបានទាមទារដើម្បីត្រឡប់ការគាំទ្រ WEP)។ បានលុបមុខងារកេរ្តិ៍ដំណែលដែលទាក់ទងនឹងពិធីសារចំណុចចូលដំណើរការអន្តរ (IAPP)។ ការគាំទ្រសម្រាប់ libnl 1.1 ត្រូវបានបញ្ឈប់។ បានបន្ថែមជម្រើសសាងសង់ CONFIG_NO_TKIP=y សម្រាប់ការសាងសង់ដោយគ្មានការគាំទ្រ TKIP ។
• ភាពងាយរងគ្រោះដែលបានជួសជុលនៅក្នុងការអនុវត្ត UPnP (CVE-2020-12695) នៅក្នុង P2P/Wi-Fi Direct handler (CVE-2021-27803) និងនៅក្នុងយន្តការការពារ PMF (CVE-2019-16275)។
• ការផ្លាស់ប្តូរជាក់លាក់របស់ Hostapd រួមមានការពង្រីកការគាំទ្រសម្រាប់បណ្តាញឥតខ្សែ HEW (High-Efficiency Wireless, IEEE 802.11ax) រួមទាំងលទ្ធភាពប្រើប្រាស់ជួរប្រេកង់ 6 GHz ។
• ការផ្លាស់ប្តូរជាក់លាក់ចំពោះ wpa_supplicant៖
  • បានបន្ថែមការគាំទ្រសម្រាប់ការកំណត់របៀបចំណុចចូលដំណើរការសម្រាប់ SAE (WPA3-Personal)។
  • ការគាំទ្ររបៀប P802.11P ត្រូវបានអនុវត្តសម្រាប់បណ្តាញ EDMG (IEEE 2ay) ។
  • ធ្វើឱ្យប្រសើរឡើងនូវការព្យាករណ៍ឆ្លងកាត់ និងការជ្រើសរើស BSS ។
  • ចំណុចប្រទាក់គ្រប់គ្រងតាមរយៈ D-Bus ត្រូវបានពង្រីក។
  • កម្មវិធីខាងក្រោយថ្មីត្រូវបានបន្ថែមសម្រាប់ការរក្សាទុកពាក្យសម្ងាត់នៅក្នុងឯកសារដាច់ដោយឡែក ដែលអនុញ្ញាតឱ្យអ្នកលុបព័ត៌មានរសើបចេញពីឯកសារកំណត់រចនាសម្ព័ន្ធចម្បង។
  • បានបន្ថែមគោលការណ៍ថ្មីសម្រាប់ SCS, MSCS និង DSCP ។

ប្រភព: opennet.ru