hostapd आणि wpa_supplicant 2.10 चे प्रकाशन

दीड वर्षाच्या विकासानंतर, hostapd/wpa_supplicant 2.10 चे प्रकाशन तयार केले गेले आहे, वायरलेस प्रोटोकॉल IEEE 802.1X, WPA, WPA2, WPA3 आणि EAP ला समर्थन देणारा एक संच, ज्यामध्ये वायरलेस नेटवर्कशी कनेक्ट करण्यासाठी wpa_supplicant ऍप्लिकेशनचा समावेश आहे. क्लायंट म्हणून आणि hostapd पार्श्वभूमी प्रक्रिया ऍक्सेस पॉईंट आणि प्रमाणीकरण सर्व्हरचे ऑपरेशन प्रदान करण्यासाठी, WPA ऑथेंटिकेटर, RADIUS ऑथेंटिकेशन क्लायंट/सर्व्हर, EAP सर्व्हर सारख्या घटकांसह. प्रकल्पाचा स्त्रोत कोड बीएसडी परवान्याअंतर्गत वितरित केला जातो.

फंक्शनल बदलांव्यतिरिक्त, नवीन आवृत्ती SAE (सिमलटेनियस ऑथेंटिकेशन ऑफ इक्वल्स) कनेक्शन निगोशिएशन पद्धत आणि EAP-pwd प्रोटोकॉलला प्रभावित करणारा नवीन साइड-चॅनल हल्ला वेक्टर अवरोधित करते. वायरलेस नेटवर्कशी कनेक्ट करणाऱ्या वापरकर्त्याच्या सिस्टमवर अनप्रिव्हिलेज्ड कोड कार्यान्वित करण्याची क्षमता असलेला आक्रमणकर्ता, सिस्टमवरील क्रियाकलापांचे निरीक्षण करून, पासवर्ड वैशिष्ट्यांबद्दल माहिती मिळवू शकतो आणि ऑफलाइन मोडमध्ये पासवर्ड अंदाज करणे सोपे करण्यासाठी त्यांचा वापर करू शकतो. पासवर्डच्या वैशिष्ट्यांबद्दल माहितीच्या तृतीय-पक्षाच्या चॅनेलद्वारे गळती झाल्यामुळे ही समस्या उद्भवली आहे, जे अप्रत्यक्ष डेटावर आधारित, जसे की ऑपरेशन्स दरम्यान विलंबामध्ये बदल, पासवर्डच्या भागांच्या निवडीची शुद्धता स्पष्ट करण्यास अनुमती देते. ते निवडण्याची प्रक्रिया.

2019 मध्ये निश्चित केलेल्या समान समस्यांप्रमाणे, नवीन असुरक्षा या कारणामुळे उद्भवली आहे की crypto_ec_point_solve_y_coord() फंक्शनमध्ये वापरल्या जाणाऱ्या बाह्य क्रिप्टोग्राफिक प्रिमिटिव्हजने प्रक्रिया केल्या जाणाऱ्या डेटाच्या स्वरूपाकडे दुर्लक्ष करून, सतत अंमलबजावणीचा वेळ दिला नाही. प्रोसेसर कॅशेच्या वर्तनाच्या विश्लेषणावर आधारित, समान प्रोसेसर कोरवर अनप्रिव्हिलेज्ड कोड चालवण्याची क्षमता असलेला आक्रमणकर्ता SAE/EAP-pwd मधील पासवर्ड ऑपरेशन्सच्या प्रगतीबद्दल माहिती मिळवू शकतो. समस्या SAE (CONFIG_SAE=y) आणि EAP-pwd (CONFIG_EAP_PWD=y) च्या समर्थनासह संकलित केलेल्या wpa_supplicant आणि hostapd च्या सर्व आवृत्त्यांना प्रभावित करते.

hostapd आणि wpa_supplicant च्या नवीन प्रकाशनांमध्ये इतर बदल:

• OpenSSL 3.0 क्रिप्टोग्राफिक लायब्ररीसह तयार करण्याची क्षमता जोडली.
• WPA3 स्पेसिफिकेशन अपडेटमध्ये प्रस्तावित बीकन संरक्षण यंत्रणा लागू केली गेली आहे, जी बीकन फ्रेम्समधील बदल हाताळणाऱ्या वायरलेस नेटवर्कवरील सक्रिय हल्ल्यांपासून संरक्षण करण्यासाठी डिझाइन केलेली आहे.
• DPP 2 (वाय-फाय डिव्हाइस प्रोव्हिजनिंग प्रोटोकॉल) साठी समर्थन जोडले आहे, जे ऑन-स्क्रीन इंटरफेसशिवाय डिव्हाइसेसच्या सरलीकृत कॉन्फिगरेशनसाठी WPA3 मानकामध्ये वापरलेली सार्वजनिक की प्रमाणीकरण पद्धत परिभाषित करते. आधीच वायरलेस नेटवर्कशी कनेक्ट केलेले आणखी एक प्रगत उपकरण वापरून सेटअप केले जाते. उदाहरणार्थ, केसवर मुद्रित केलेल्या QR कोडच्या स्नॅपशॉटच्या आधारे स्मार्टफोनवरून स्क्रीनशिवाय IoT डिव्हाइससाठी पॅरामीटर्स सेट केले जाऊ शकतात;
• विस्तारित की आयडी (IEEE 802.11-2016) साठी समर्थन जोडले.
• SAE कनेक्शन वाटाघाटी पद्धतीच्या अंमलबजावणीसाठी SAE-PK (SAE सार्वजनिक की) सुरक्षा यंत्रणेसाठी समर्थन जोडले गेले आहे. तत्काळ पुष्टीकरण पाठवण्याचा एक मोड लागू केला जातो, जो “sae_config_immediate=1” पर्यायाद्वारे सक्षम केला जातो, तसेच sae_pwe पॅरामीटर 1 किंवा 2 वर सेट केला जातो तेव्हा हॅश-टू-एलिमेंट यंत्रणा सक्षम केली जाते.
• EAP-TLS अंमलबजावणीने TLS 1.3 (डीफॉल्टनुसार अक्षम) साठी समर्थन जोडले आहे.
• प्रमाणीकरण प्रक्रियेदरम्यान EAP संदेशांच्या संख्येवर मर्यादा बदलण्यासाठी नवीन सेटिंग्ज (max_auth_rounds, max_auth_rounds_short) जोडल्या आहेत (खूप मोठी प्रमाणपत्रे वापरताना मर्यादांमध्ये बदल आवश्यक असू शकतात).
• PASN (प्री असोसिएशन सिक्युरिटी निगोशिएशन) यंत्रणेसाठी एक सुरक्षित कनेक्शन स्थापित करण्यासाठी आणि आधीच्या कनेक्शनच्या टप्प्यावर नियंत्रण फ्रेमच्या देवाणघेवाणीचे संरक्षण करण्यासाठी जोडलेले समर्थन.
• ट्रान्झिशन डिसेबल मेकॅनिझम लागू करण्यात आली आहे, जी तुम्हाला रोमिंग मोड आपोआप डिसेबल करण्याची परवानगी देते, जे तुम्हाला सुरक्षितता वाढवण्यासाठी तुम्ही हलताना ॲक्सेस पॉईंट्समध्ये स्विच करू शकता.
• WEP प्रोटोकॉलसाठी समर्थन डीफॉल्ट बिल्डमधून वगळण्यात आले आहे (WEP समर्थन परत करण्यासाठी CONFIG_WEP=y पर्यायासह पुनर्बांधणी आवश्यक आहे). इंटर-एक्सेस पॉइंट प्रोटोकॉल (IAPP) शी संबंधित लेगसी कार्यक्षमता काढून टाकली. libnl 1.1 साठी समर्थन बंद केले आहे. TKIP समर्थनाशिवाय बिल्डसाठी CONFIG_NO_TKIP=y बिल्ड पर्याय जोडला.
• UPnP अंमलबजावणी (CVE-2020-12695), P2P/Wi-Fi डायरेक्ट हँडलर (CVE-2021-27803) आणि PMF संरक्षण यंत्रणा (CVE-2019-16275) मध्ये निश्चित भेद्यता.
• Hostapd-विशिष्ट बदलांमध्ये HEW (उच्च-कार्यक्षमता वायरलेस, IEEE 802.11ax) वायरलेस नेटवर्कसाठी विस्तारित समर्थन समाविष्ट आहे, ज्यामध्ये 6 GHz वारंवारता श्रेणी वापरण्याची क्षमता समाविष्ट आहे.
• wpa_supplicant साठी विशिष्ट बदल:
  • SAE (WPA3-Personal) साठी ऍक्सेस पॉइंट मोड सेटिंग्जसाठी समर्थन जोडले.
  • EDMG चॅनेलसाठी P802.11P मोड समर्थन लागू केले आहे (IEEE 2ay).
  • सुधारित थ्रुपुट अंदाज आणि BSS निवड.
  • डी-बस द्वारे कंट्रोल इंटरफेसचा विस्तार केला गेला आहे.
  • एका वेगळ्या फाईलमध्ये पासवर्ड साठवण्यासाठी नवीन बॅकएंड जोडला गेला आहे, ज्यामुळे तुम्हाला मुख्य कॉन्फिगरेशन फाइलमधून संवेदनशील माहिती काढून टाकता येते.
  • SCS, MSCS आणि DSCP साठी नवीन धोरणे जोडली.

स्त्रोत: opennet.ru