ProHoster > Blog > berita internet > Pengeluaran hostapd dan wpa_supplicant 2.10

Pengeluaran hostapd dan wpa_supplicant 2.10

Selepas satu setengah tahun pembangunan, keluaran hostapd/wpa_supplicant 2.10 telah disediakan, satu set untuk menyokong protokol wayarles IEEE 802.1X, WPA, WPA2, WPA3 dan EAP, yang terdiri daripada aplikasi wpa_supplicant untuk menyambung ke rangkaian wayarles sebagai pelanggan dan proses latar belakang hostapd untuk menyediakan operasi pusat akses dan pelayan pengesahan, termasuk komponen seperti Pengesah WPA, klien/pelayan pengesahan RADIUS, pelayan EAP. Kod sumber projek diedarkan di bawah lesen BSD.

Sebagai tambahan kepada perubahan fungsi, versi baharu menyekat vektor serangan saluran sisi baharu yang mempengaruhi kaedah rundingan sambungan SAE (Pengesahan Bersamaan Setara) dan protokol EAP-pwd. Penyerang yang mempunyai keupayaan untuk melaksanakan kod yang tidak mempunyai hak istimewa pada sistem pengguna yang menyambung ke rangkaian wayarles boleh, dengan memantau aktiviti pada sistem, mendapatkan maklumat tentang ciri kata laluan dan menggunakannya untuk memudahkan tekaan kata laluan dalam mod luar talian. Masalahnya disebabkan oleh kebocoran melalui saluran pihak ketiga maklumat tentang ciri-ciri kata laluan, yang membolehkan, berdasarkan data tidak langsung, seperti perubahan dalam kelewatan semasa operasi, untuk menjelaskan ketepatan pilihan bahagian kata laluan dalam proses pemilihannya.

Tidak seperti isu serupa yang ditetapkan pada 2019, kerentanan baharu ini disebabkan oleh fakta bahawa primitif kriptografi luaran yang digunakan dalam fungsi crypto_ec_point_solve_y_coord() tidak memberikan masa pelaksanaan yang berterusan, tanpa mengira jenis data yang sedang diproses. Berdasarkan analisis kelakuan cache pemproses, penyerang yang mempunyai keupayaan untuk menjalankan kod yang tidak mempunyai hak istimewa pada teras pemproses yang sama boleh mendapatkan maklumat tentang kemajuan operasi kata laluan dalam SAE/EAP-pwd. Masalahnya menjejaskan semua versi wpa_supplicant dan hostapd yang dibina dengan sokongan untuk SAE (CONFIG_SAE=y) dan EAP-pwd (CONFIG_EAP_PWD=y).

Perubahan lain dalam keluaran baharu hostapd dan wpa_supplicant:

  • Menambahkan keupayaan untuk membina dengan perpustakaan kriptografi OpenSSL 3.0.
  • Mekanisme Perlindungan Beacon yang dicadangkan dalam kemas kini spesifikasi WPA3 telah dilaksanakan, direka bentuk untuk melindungi daripada serangan aktif pada rangkaian wayarles yang memanipulasi perubahan dalam bingkai Beacon.
  • Sokongan tambahan untuk DPP 2 (Protokol Penyediaan Peranti Wi-Fi), yang mentakrifkan kaedah pengesahan kunci awam yang digunakan dalam standard WPA3 untuk konfigurasi peranti yang dipermudahkan tanpa antara muka pada skrin. Persediaan dijalankan menggunakan peranti lain yang lebih maju yang telah disambungkan ke rangkaian wayarles. Sebagai contoh, parameter untuk peranti IoT tanpa skrin boleh ditetapkan daripada telefon pintar berdasarkan syot kilat kod QR yang dicetak pada kes itu;
  • Menambah sokongan untuk ID Kunci Lanjutan (IEEE 802.11-2016).
  • Sokongan untuk mekanisme keselamatan SAE-PK (SAE Public Key) telah ditambahkan pada pelaksanaan kaedah rundingan sambungan SAE. Mod untuk menghantar pengesahan serta-merta dilaksanakan, didayakan oleh pilihan "sae_config_immediate=1", serta mekanisme cincang-ke-elemen, didayakan apabila parameter sae_pwe ditetapkan kepada 1 atau 2.
  • Pelaksanaan EAP-TLS telah menambah sokongan untuk TLS 1.3 (dilumpuhkan secara lalai).
  • Menambah tetapan baharu (max_auth_rounds, max_auth_rounds_short) untuk menukar had pada bilangan mesej EAP semasa proses pengesahan (perubahan dalam had mungkin diperlukan apabila menggunakan sijil yang sangat besar).
  • Menambah sokongan untuk mekanisme PASN (Perundingan Keselamatan Pra Persatuan) untuk mewujudkan sambungan selamat dan melindungi pertukaran bingkai kawalan pada peringkat sambungan yang lebih awal.
  • Mekanisme Lumpuhkan Peralihan telah dilaksanakan, yang membolehkan anda melumpuhkan mod perayauan secara automatik, yang membolehkan anda bertukar antara titik akses semasa anda bergerak, untuk meningkatkan keselamatan.
  • Sokongan untuk protokol WEP dikecualikan daripada binaan lalai (membina semula dengan pilihan CONFIG_WEP=y diperlukan untuk mengembalikan sokongan WEP). Kefungsian warisan yang berkaitan dengan Inter-Access Point Protocol (IAPP) telah dialih keluar. Sokongan untuk libnl 1.1 telah dihentikan. Menambahkan pilihan binaan CONFIG_NO_TKIP=y untuk binaan tanpa sokongan TKIP.
  • Memperbaiki kelemahan dalam pelaksanaan UPnP (CVE-2020-12695), dalam pengendali P2P/Wi-Fi Direct (CVE-2021-27803) dan dalam mekanisme perlindungan PMF (CVE-2019-16275).
  • Perubahan khusus Hostapd termasuk sokongan yang diperluas untuk rangkaian wayarles HEW (High-Efficiency Wireless, IEEE 802.11ax), termasuk keupayaan untuk menggunakan julat frekuensi 6 GHz.
  • Perubahan khusus kepada wpa_supplicant:
    • Menambah sokongan untuk tetapan mod titik akses untuk SAE (WPA3-Personal).
    • Sokongan mod P802.11P dilaksanakan untuk saluran EDMG (IEEE 2ay).
    • Ramalan daya pengeluaran yang lebih baik dan pemilihan BSS.
    • Antara muka kawalan melalui D-Bus telah diperluaskan.
    • Bahagian belakang baharu telah ditambahkan untuk menyimpan kata laluan dalam fail berasingan, membolehkan anda mengalih keluar maklumat sensitif daripada fail konfigurasi utama.
    • Menambah dasar baharu untuk SCS, MSCS dan DSCP.

Sumber: opennet.ru

Tambah komen