ProHoster > Log > Internett-nyheter > Utgivelse av hostapd og wpa_supplicant 2.10

Utgivelse av hostapd og wpa_supplicant 2.10

Etter halvannet år med utvikling er utgivelsen av hostapd/wpa_supplicant 2.10 klargjort, et sett for å støtte de trådløse protokollene IEEE 802.1X, WPA, WPA2, WPA3 og EAP, bestående av wpa_supplicant-applikasjonen for å koble til et trådløst nettverk som en klient og hostapd-bakgrunnsprosessen for å gi drift av tilgangspunktet og en autentiseringsserver, inkludert komponenter som WPA Authenticator, RADIUS-autentiseringsklient/server, EAP-server. Kildekoden til prosjektet distribueres under BSD-lisensen.

I tillegg til funksjonsendringer, blokkerer den nye versjonen en ny sidekanalangrepsvektor som påvirker SAE (Simultaneous Authentication of Equals)-forbindelsesforhandlingsmetoden og EAP-pwd-protokollen. En angriper som har muligheten til å utføre uprivilegert kode på systemet til en bruker som kobler til et trådløst nettverk, kan, ved å overvåke aktiviteten på systemet, få informasjon om passordkarakteristikker og bruke dem til å forenkle passordgjetting i frakoblet modus. Problemet er forårsaket av lekkasje gjennom tredjepartskanaler av informasjon om egenskapene til passordet, som gjør det mulig, basert på indirekte data, som endringer i forsinkelser under operasjoner, å avklare riktigheten av valget av deler av passordet i prosessen med å velge den.

I motsetning til lignende problemer som ble løst i 2019, er den nye sårbarheten forårsaket av det faktum at de eksterne kryptografiske primitivene som ble brukt i crypto_ec_point_solve_y_coord()-funksjonen ikke ga en konstant utførelsestid, uavhengig av typen data som ble behandlet. Basert på analysen av oppførselen til prosessorcachen kunne en angriper som hadde muligheten til å kjøre uprivilegert kode på samme prosessorkjerne få informasjon om fremdriften av passordoperasjoner i SAE/EAP-pwd. Problemet påvirker alle versjoner av wpa_supplicant og hostapd kompilert med støtte for SAE (CONFIG_SAE=y) og EAP-pwd (CONFIG_EAP_PWD=y).

Andre endringer i de nye utgivelsene av hostapd og wpa_supplicant:

  • Lagt til muligheten til å bygge med OpenSSL 3.0 kryptografisk bibliotek.
  • Beacon Protection-mekanismen foreslått i WPA3-spesifikasjonsoppdateringen er implementert, designet for å beskytte mot aktive angrep på det trådløse nettverket som manipulerer endringer i Beacon-rammer.
  • Lagt til støtte for DPP 2 (Wi-Fi Device Provisioning Protocol), som definerer den offentlige nøkkelautentiseringsmetoden som brukes i WPA3-standarden for forenklet konfigurasjon av enheter uten et skjermgrensesnitt. Oppsettet utføres med en annen mer avansert enhet som allerede er koblet til det trådløse nettverket. For eksempel kan parametere for en IoT-enhet uten skjerm settes fra en smarttelefon basert på et øyeblikksbilde av en QR-kode trykt på dekselet;
  • Lagt til støtte for utvidet nøkkel-ID (IEEE 802.11-2016).
  • Støtte for SAE-PK (SAE Public Key) sikkerhetsmekanismen er lagt til implementeringen av SAE-forbindelsesforhandlingsmetoden. En modus for øyeblikkelig sending av bekreftelse er implementert, aktivert av "sae_config_immediate=1"-alternativet, samt en hash-til-element-mekanisme, aktivert når sae_pwe-parameteren er satt til 1 eller 2.
  • EAP-TLS-implementeringen har lagt til støtte for TLS 1.3 (deaktivert som standard).
  • Lagt til nye innstillinger (max_auth_rounds, max_auth_rounds_short) for å endre grensene for antall EAP-meldinger under autentiseringsprosessen (endringer i grensene kan være nødvendig ved bruk av svært store sertifikater).
  • Lagt til støtte for PASN-mekanismen (Pre Association Security Negotiation) for å etablere en sikker tilkobling og beskytte utvekslingen av kontrollrammer på et tidligere tilkoblingsstadium.
  • Transition Disable-mekanismen er implementert, som lar deg deaktivere roaming-modus automatisk, som lar deg bytte mellom tilgangspunkter mens du beveger deg, for å øke sikkerheten.
  • Støtte for WEP-protokollen er ekskludert fra standardbygg (gjenoppbygging med alternativet CONFIG_WEP=y er nødvendig for å returnere WEP-støtte). Fjernet eldre funksjonalitet relatert til Inter-Access Point Protocol (IAPP). Støtte for libnl 1.1 er avviklet. Lagt til byggealternativ CONFIG_NO_TKIP=y for bygg uten TKIP-støtte.
  • Rettet sårbarheter i UPnP-implementeringen (CVE-2020-12695), i P2P/Wi-Fi Direct-behandleren (CVE-2021-27803) og i PMF-beskyttelsesmekanismen (CVE-2019-16275).
  • Hostapd-spesifikke endringer inkluderer utvidet støtte for HEW (High-Efficiency Wireless, IEEE 802.11ax) trådløse nettverk, inkludert muligheten til å bruke 6 GHz-frekvensområdet.
  • Endringer spesifikke for wpa_supplicant:
    • Lagt til støtte for innstillinger for tilgangspunktmodus for SAE (WPA3-Personal).
    • P802.11P-modusstøtte er implementert for EDMG-kanaler (IEEE 2ay).
    • Forbedret gjennomstrømningsprediksjon og BSS-valg.
    • Styringsgrensesnittet via D-Bus er utvidet.
    • En ny backend er lagt til for lagring av passord i en egen fil, slik at du kan fjerne sensitiv informasjon fra hovedkonfigurasjonsfilen.
    • Lagt til nye retningslinjer for SCS, MSCS og DSCP.

Kilde: opennet.ru

Legg til en kommentar