Бир жарым жылдык өнүгүүдөн кийин, зымсыз тармакка туташуу үчүн wpa_supplicant тиркемесин камтыган IEEE 2.10X, WPA, WPA802.1, WPA2 жана EAP зымсыз протоколдорун иштетүү үчүн hostapd/wpa_supplicant 3 релизи даярдалды. WPA Authenticator, RADIUS аутентификация кардары/сервери, EAP сервери сыяктуу компоненттерди камтыган кирүү чекити жана аутентификация серверин иштетүү үчүн кардар жана hostapd фон процесси катары. Долбоордун баштапкы коду BSD лицензиясы боюнча таратылат.
Функционалдык өзгөртүүлөрдөн тышкары, жаңы версия SAE (Бир эле учурда бирдей аутентификация) туташуу сүйлөшүү ыкмасына жана EAP-pwd протоколуна таасир этүүчү жаңы каптал-канал чабуулунун векторун бөгөттөйт. Зымсыз тармакка кошулган колдонуучунун системасында артыкчылыксыз кодду ишке ашыруу мүмкүнчүлүгүнө ээ болгон чабуулчу системадагы активдүүлүккө мониторинг жүргүзүү аркылуу сырсөздүн мүнөздөмөлөрү жөнүндө маалымат ала алат жана аларды оффлайн режиминде сырсөздү болжолдоону жөнөкөйлөтүү үчүн колдоно алат. Көйгөй үчүнчү тараптын каналдары аркылуу сырсөздүн мүнөздөмөлөрү жөнүндө маалыматтын агып кетишинен улам келип чыгат, бул кыйыр маалыматтарга, мисалы, операциялар учурундагы кечигүүлөрдү өзгөртүүгө, паролдун бөлүктөрүн тандоонун тууралыгын тактоого мүмкүндүк берет. аны тандоо процесси.
2019-жылы аныкталган ушул сыяктуу маселелерден айырмаланып, жаңы аялуу crypto_ec_point_solve_y_coord() функциясында колдонулган тышкы криптографиялык примитивдер иштетилип жаткан маалыматтардын мүнөзүнө карабастан туруктуу аткаруу убактысын камсыз кылбаганы менен шартталган. Процессордун кэшинин жүрүм-турумун талдоонун негизинде, бир эле процессордун өзөгүндө артыкчылыксыз кодду иштетүү мүмкүнчүлүгүнө ээ болгон чабуулчу SAE/EAP-pwd ичинде сырсөз операцияларынын жүрүшү жөнүндө маалымат ала алат. Көйгөй SAE (CONFIG_SAE=y) жана EAP-pwd (CONFIG_EAP_PWD=y) колдоосу менен түзүлгөн wpa_supplicant жана hostapd бардык версияларына таасирин тийгизет.
hostapd жана wpa_supplicant жаңы релизиндеги башка өзгөртүүлөр:
- OpenSSL 3.0 криптографиялык китепканасы менен куруу мүмкүнчүлүгү кошулду.
- WPA3 спецификациясынын жаңыртуусунда сунушталган Beacon Protection механизми ишке ашырылган, ал Beacon кадрларындагы өзгөрүүлөрдү манипуляциялаган зымсыз тармакка активдүү чабуулдардан коргоо үчүн иштелип чыккан.
- Экрандагы интерфейси жок түзмөктөрдү жөнөкөйлөштүрүлгөн конфигурациялоо үчүн WPA2 стандартында колдонулган ачык ачкычтын аутентификация ыкмасын аныктаган DPP 3 (Wi-Fi түзмөгүн камсыздоо протоколу) үчүн кошумча колдоо. Орнотуу зымсыз тармакка мурунтан эле туташкан дагы бир өркүндөтүлгөн аспаптын жардамы менен ишке ашырылат. Мисалы, экраны жок IoT түзмөгүнүн параметрлери корпуска басылган QR-коддун сүрөтүнүн негизинде смартфондон коюлушу мүмкүн;
- Extended Key ID (IEEE 802.11-2016) үчүн кошумча колдоо.
- SAE-PK (SAE Коомдук ачкычы) коопсуздук механизмин колдоо SAE туташуу сүйлөшүү ыкмасын ишке ашырууга кошулду. "sae_config_immediate=1" опциясы менен иштетилген ырастоону заматта жөнөтүү режими, ошондой эле sae_pwe параметри 1 же 2ге коюлганда иштетилген хэш-элемент механизми ишке ашырылат.
- EAP-TLS ишке ашыруу TLS 1.3 үчүн колдоо кошту (демейки боюнча өчүрүлгөн).
- Аутентификация процессинде EAP билдирүүлөрүнүн санына чектөөлөрдү өзгөртүү үчүн жаңы орнотуулар (max_auth_rounds, max_auth_rounds_short) кошулду (өтө чоң сертификаттарды колдонууда чектөөлөрдү өзгөртүү талап кылынышы мүмкүн).
- Коопсуз туташууну түзүү жана мурунку туташуунун стадиясында башкаруу алкактарынын алмашуусун коргоо үчүн PASN (Асоциацияга чейинки коопсуздук сүйлөшүүлөрү) механизми үчүн кошумча колдоо.
- Transition Disable механизми ишке ашырылды, ал роуминг режимин автоматтык түрдө өчүрүүгө мүмкүндүк берет, ал коопсуздукту күчөтүү үчүн көчүп баратканда кирүү чекиттеринин ортосунда которулууга мүмкүндүк берет.
- WEP протоколун колдоо демейки түзүлүштөрдөн алынып салынган (WEP колдоосун кайтаруу үчүн CONFIG_WEP=y опциясы менен кайра куруу талап кылынат). Inter-Access Point Protocol (IAPP) менен байланышкан эски функциялар алынып салынды. libnl 1.1ди колдоо токтотулду. TKIP колдоосу жок куруулар үчүн CONFIG_NO_TKIP=y куруу опциясы кошулду.
- UPnP ишке ашыруудагы (CVE-2020-12695), P2P/Wi-Fi Direct иштеткичиндеги (CVE-2021-27803) жана PMF коргоо механизминдеги (CVE-2019-16275) бузулуулар оңдолду.
- Hostapd үчүн өзгөчө өзгөрүүлөр HEW (High-Efficiency Wireless, IEEE 802.11ax) зымсыз тармактарын кеңейтилген колдоону, анын ичинде 6 ГГц жыштык диапазонун колдонуу мүмкүнчүлүгүн камтыйт.
- wpa_supplicant үчүн өзгөчө өзгөртүүлөр:
- SAE (WPA3-Жеке) үчүн кирүү чекити режиминин жөндөөлөрү үчүн колдоо кошулду.
- P802.11P режимин колдоо EDMG каналдары үчүн ишке ашырылат (IEEE 2ay).
- Жакшыртылган өткөрүү прогноз жана BSS тандоо.
- D-Bus аркылуу башкаруу интерфейси кеңейтилди.
- Негизги конфигурация файлынан купуя маалыматты алып салууга мүмкүндүк берүүчү сырсөздөрдү өзүнчө файлда сактоо үчүн жаңы сервер кошулду.
- SCS, MSCS жана DSCP үчүн жаңы саясаттар кошулду.
Source: opennet.ru