ProHoster > blog > internetnieuws > Uitgave van hostapd en wpa_supplicant 2.10

Uitgave van hostapd en wpa_supplicant 2.10

Na anderhalf jaar ontwikkeling is de release van hostapd/wpa_supplicant 2.10 voorbereid, een set voor het uitvoeren van de draadloze protocollen IEEE 802.1X, WPA, WPA2, WPA3 en EAP, bestaande uit de applicatie wpa_supplicant voor verbinding met een draadloos netwerk als client en het hostapd-achtergrondproces voor het uitvoeren van het toegangspunt en een authenticatieserver, inclusief componenten zoals WPA Authenticator, RADIUS authenticatieclient/server, EAP-server. De broncode van het project wordt gedistribueerd onder de BSD-licentie.

Naast functionele veranderingen blokkeert de nieuwe versie een nieuwe zijkanaalaanvalsvector die van invloed is op de SAE-verbindingsonderhandelingsmethode (Simultaneous Authentication of Equals) en het EAP-pwd-protocol. Een aanvaller die ongeautoriseerde code kan uitvoeren op het systeem van een gebruiker die verbinding maakt met een draadloos netwerk, kan door de activiteit op het systeem te monitoren informatie verkrijgen over de kenmerken van het wachtwoord en deze gebruiken om het raden van wachtwoorden in de offlinemodus te vereenvoudigen. Het probleem wordt veroorzaakt door het lekken via kanalen van derden van informatie over de kenmerken van het wachtwoord, waardoor op basis van indirecte gegevens, zoals veranderingen in vertragingen tijdens operaties, de juistheid van de keuze van delen van het wachtwoord in het proces kan worden verduidelijkt. het proces van het selecteren ervan.

In tegenstelling tot soortgelijke problemen die in 2019 zijn opgelost, wordt de nieuwe kwetsbaarheid veroorzaakt door het feit dat de externe cryptografische primitieven die worden gebruikt in de functie crypto_ec_point_solve_y_coord() geen constante uitvoeringstijd opleverden, ongeacht de aard van de gegevens die werden verwerkt. Op basis van de analyse van het gedrag van de processorcache kon een aanvaller die onbevoegde code op dezelfde processorkern kon uitvoeren, informatie verkrijgen over de voortgang van wachtwoordbewerkingen in SAE/EAP-pwd. Het probleem treft alle versies van wpa_supplicant en hostapd die zijn gecompileerd met ondersteuning voor SAE (CONFIG_SAE=y) en EAP-pwd (CONFIG_EAP_PWD=y).

Andere wijzigingen in de nieuwe releases van hostapd en wpa_supplicant:

  • De mogelijkheid toegevoegd om te bouwen met de cryptografische bibliotheek OpenSSL 3.0.
  • Het Beacon Protection-mechanisme voorgesteld in de WPA3-specificatie-update is geïmplementeerd, ontworpen om te beschermen tegen actieve aanvallen op het draadloze netwerk die veranderingen in Beacon-frames manipuleren.
  • Ondersteuning toegevoegd voor DPP 2 (Wi-Fi Device Provisioning Protocol), dat de openbare-sleutelauthenticatiemethode definieert die wordt gebruikt in de WPA3-standaard voor vereenvoudigde configuratie van apparaten zonder een interface op het scherm. De installatie wordt uitgevoerd met behulp van een ander, geavanceerder apparaat dat al met het draadloze netwerk is verbonden. Parameters voor een IoT-apparaat zonder scherm kunnen bijvoorbeeld vanaf een smartphone worden ingesteld op basis van een momentopname van een QR-code die op de behuizing is afgedrukt;
  • Ondersteuning toegevoegd voor Extended Key ID (IEEE 802.11-2016).
  • Ondersteuning voor het SAE-PK (SAE Public Key) beveiligingsmechanisme is toegevoegd aan de implementatie van de SAE-verbindingsonderhandelingsmethode. Er is een modus geïmplementeerd voor het onmiddellijk verzenden van bevestigingen, mogelijk gemaakt door de optie “sae_config_immediate=1”, evenals een hash-to-element-mechanisme, ingeschakeld wanneer de sae_pwe-parameter is ingesteld op 1 of 2.
  • De EAP-TLS-implementatie heeft ondersteuning voor TLS 1.3 toegevoegd (standaard uitgeschakeld).
  • Nieuwe instellingen toegevoegd (max_auth_rounds, max_auth_rounds_short) om de limieten op het aantal EAP-berichten tijdens het authenticatieproces te wijzigen (wijzigingen in de limieten kunnen nodig zijn bij het gebruik van zeer grote certificaten).
  • Ondersteuning toegevoegd voor het PASN-mechanisme (Pre Association Security Negotiation) voor het tot stand brengen van een veilige verbinding en het beschermen van de uitwisseling van controleframes in een eerdere verbindingsfase.
  • Om de veiligheid te vergroten is het Transition Disable-mechanisme geïmplementeerd, waarmee u automatisch de roamingmodus kunt uitschakelen, waardoor u tussen toegangspunten kunt schakelen terwijl u zich verplaatst.
  • Ondersteuning voor het WEP-protocol is uitgesloten van standaardbuilds (opnieuw opbouwen met de optie CONFIG_WEP=y is vereist om WEP-ondersteuning te retourneren). Verouderde functionaliteit met betrekking tot Inter-Access Point Protocol (IAPP) verwijderd. Ondersteuning voor libnl 1.1 is stopgezet. Bouwoptie CONFIG_NO_TKIP=y toegevoegd voor builds zonder TKIP-ondersteuning.
  • Kwetsbaarheden opgelost in de UPnP-implementatie (CVE-2020-12695), in de P2P/Wi-Fi Direct-handler (CVE-2021-27803) en het PMF-beveiligingsmechanisme (CVE-2019-16275).
  • Hostapd-specifieke veranderingen omvatten uitgebreide ondersteuning voor draadloze HEW-netwerken (High-Efficiency Wireless, IEEE 802.11ax), inclusief de mogelijkheid om het 6 GHz-frequentiebereik te gebruiken.
  • Wijzigingen specifiek voor wpa_supplicant:
    • Ondersteuning toegevoegd voor instellingen voor toegangspuntmodus voor SAE (WPA3-Personal).
    • Ondersteuning voor P802.11P-modus is geïmplementeerd voor EDMG-kanalen (IEEE 2ay).
    • Verbeterde doorvoervoorspelling en BSS-selectie.
    • De besturingsinterface via D-Bus is uitgebreid.
    • Er is een nieuwe backend toegevoegd voor het opslaan van wachtwoorden in een apart bestand, waardoor u gevoelige informatie uit het hoofdconfiguratiebestand kunt verwijderen.
    • Nieuw beleid toegevoegd voor SCS, MSCS en DSCP.

Bron: opennet.ru

Voeg een reactie