Жил хагасын хөгжүүлэлтийн дараа утасгүй сүлжээнд холбогдох wpa_supplicant програмаас бүрдсэн IEEE 2.10X, WPA, WPA802.1, WPA2 болон EAP утасгүй протоколуудыг дэмжих иж бүрдэл болох hostapd/wpa_supplicant 3 хувилбарыг бэлтгэсэн. WPA Authenticator, RADIUS баталгаажуулалтын клиент/сервер, EAP сервер гэх мэт бүрэлдэхүүн хэсгүүдийг багтаасан хандалтын цэг болон баталгаажуулалтын серверийн ажиллагааг хангахын тулд үйлчлүүлэгч болон hostapd-ийн арын процесс болгон ашиглах. Төслийн эх кодыг BSD лицензийн дагуу түгээдэг.
Функциональ өөрчлөлтөөс гадна шинэ хувилбар нь SAE (Simultaneous Authentication of Equals) холболтын хэлэлцээрийн арга болон EAP-pwd протоколд нөлөөлөх шинэ хажуугийн сувгийн халдлагын векторыг блоклодог. Утасгүй сүлжээнд холбогдож буй хэрэглэгчийн систем дээр давуу эрхгүй код ажиллуулах чадвартай халдагчид систем дээрх үйл ажиллагааг хянах замаар нууц үгийн шинж чанарын талаарх мэдээллийг олж авч, офлайн горимд нууц үг таахыг хялбарчлахад ашиглах боломжтой. Асуудал нь гуравдагч этгээдийн сувгаар нууц үгийн шинж чанарын талаарх мэдээлэл алдагдсанаас үүдэлтэй бөгөөд энэ нь үйл ажиллагааны явцад саатсан өөрчлөлт гэх мэт шууд бус өгөгдөлд үндэслэн нууц үгийн хэсгийг сонгох зөв эсэхийг тодруулах боломжийг олгодог. түүнийг сонгох үйл явц.
2019 онд зассан ижил төстэй асуудлуудаас ялгаатай нь шинэ эмзэг байдал нь crypto_ec_point_solve_y_coord() функцэд ашигласан гадаад криптограф командууд нь боловсруулж буй өгөгдлийн шинж чанараас үл хамааран тогтмол гүйцэтгэлийн хугацааг хангаагүйгээс үүдэлтэй. Процессорын кэшийн үйлдлийн дүн шинжилгээнд үндэслэн ижил процессорын цөм дээр давуу эрхгүй код ажиллуулах чадвартай халдагчид SAE/EAP-pwd дахь нууц үгийн үйлдлийн явцын талаар мэдээлэл авах боломжтой. Асуудал нь SAE (CONFIG_SAE=y) болон EAP-pwd (CONFIG_EAP_PWD=y)-ийн дэмжлэгтэйгээр эмхэтгэсэн wpa_supplicant болон hostapd-ийн бүх хувилбаруудад нөлөөлж байна.
Hostapd болон wpa_supplicant-ийн шинэ хувилбаруудын бусад өөрчлөлтүүд:
- OpenSSL 3.0 криптограф номын сангаар бүтээх чадварыг нэмсэн.
- WPA3 техникийн шинэчлэлд санал болгосон Гэрэлт цамхаг хамгаалалтын механизмыг нэвтрүүлсэн бөгөөд энэ нь Beacon хүрээн дэх өөрчлөлтийг удирдах утасгүй сүлжээнд идэвхтэй халдлагаас хамгаалах зорилготой юм.
- Дэлгэцэн дээрх интерфэйсгүйгээр төхөөрөмжүүдийн хялбаршуулсан тохиргоонд зориулж WPA2 стандартад ашигладаг нийтийн түлхүүрийн баталгаажуулалтын аргыг тодорхойлсон DPP 3 (Wi-Fi төхөөрөмжийн хангамжийн протокол)-д зориулсан дэмжлэг нэмэгдсэн. Тохируулга нь утасгүй сүлжээнд холбогдсон өөр илүү дэвшилтэт төхөөрөмж ашиглан хийгддэг. Жишээлбэл, дэлгэцгүй IoT төхөөрөмжийн параметрүүдийг утсан дээр хэвлэсэн QR кодын агшин зуурын зураг дээр үндэслэн ухаалаг утаснаас тохируулах боломжтой;
- Өргөтгөсөн түлхүүр ID (IEEE 802.11-2016)-ийн дэмжлэгийг нэмсэн.
- SAE холболтын хэлэлцээрийн аргыг хэрэгжүүлэхэд SAE-PK (SAE Нийтийн Түлхүүр) аюулгүй байдлын механизмын дэмжлэг нэмэгдсэн. Баталгаажуулалтыг шууд илгээх горимыг "sae_config_immediate=1" сонголтоор идэвхжүүлсэн, мөн sae_pwe параметрийг 1 эсвэл 2 болгож тохируулсан үед элемент рүү хэшлэх механизмыг идэвхжүүлсэн.
- EAP-TLS хэрэгжүүлэлт нь TLS 1.3-ийн дэмжлэгийг нэмсэн (анхдагчаар идэвхгүй болгосон).
- Баталгаажуулалтын явцад EAP мессежийн тооны хязгаарыг өөрчлөхийн тулд шинэ тохиргоог (max_auth_rounds, max_auth_rounds_short) нэмсэн (маш том гэрчилгээ ашиглах үед хязгаарлалтыг өөрчлөх шаардлагатай байж болно).
- Аюулгүй холболтыг бий болгох, өмнөх холболтын үе шатанд хяналтын хүрээний солилцоог хамгаалах PASN (Pre Association Security Negotiation) механизмд дэмжлэг нэмсэн.
- Шилжилтийг идэвхгүй болгох механизмыг хэрэгжүүлсэн бөгөөд энэ нь роуминг горимыг автоматаар идэвхгүй болгох боломжийг олгодог бөгөөд энэ нь аюулгүй байдлыг нэмэгдүүлэхийн тулд шилжих үед хандалтын цэгүүдийн хооронд шилжих боломжийг олгодог.
- WEP протоколын дэмжлэг нь анхдагч бүтэцээс хасагдсан (WEP дэмжлэгийг буцаахын тулд CONFIG_WEP=y сонголтоор дахин бүтээх шаардлагатай). Inter-Access Point Protocol (IAPP)-тай холбоотой хуучин функцийг устгасан. libnl 1.1-ийн дэмжлэгийг зогсоосон. TKIP-ийн дэмжлэггүй бүтээхэд зориулж CONFIG_NO_TKIP=y бүтээх сонголтыг нэмсэн.
- UPnP хэрэгжилт (CVE-2020-12695), P2P/Wi-Fi Шууд зохицуулагч (CVE-2021-27803) болон PMF хамгаалалтын механизм (CVE-2019-16275) дахь сул талуудыг зассан.
- Hostapd-д хамаарах өөрчлөлтүүд нь HEW (Өндөр үр ашигтай утасгүй, IEEE 802.11ax) утасгүй сүлжээнүүдийн өргөтгөсөн дэмжлэг, үүнд 6 GHz давтамжийн хүрээг ашиглах чадварыг багтаасан болно.
- wpa_supplicant-д хамаарах өөрчлөлтүүд:
- SAE (WPA3-Personal)-д зориулсан хандалтын цэгийн горимын тохиргооны дэмжлэгийг нэмсэн.
- P802.11P горимын дэмжлэгийг EDMG сувгуудад (IEEE 2ay) ашигладаг.
- Дамжуулах чадварын таамаглал болон BSS сонголт сайжирсан.
- D-Bus-ээр дамжуулан удирдлагын интерфейсийг өргөтгөсөн.
- Нууц үгүүдийг тусдаа файлд хадгалах шинэ backend нэмэгдсэн бөгөөд энэ нь тохиргооны үндсэн файлаас нууц мэдээллийг устгах боломжийг танд олгоно.
- SCS, MSCS болон DSCP-д зориулсан шинэ бодлогыг нэмсэн.
Эх сурвалж: opennet.ru