ProHoster > Blog > notícias da internet > Lançamento de hostapd e wpa_supplicant 2.10

Lançamento de hostapd e wpa_supplicant 2.10

Após um ano e meio de desenvolvimento, foi preparado o lançamento do hostapd/wpa_supplicant 2.10, um conjunto para suporte aos protocolos wireless IEEE 802.1X, WPA, WPA2, WPA3 e EAP, composto pela aplicação wpa_supplicant para conexão a uma rede wireless como um cliente e o processo em segundo plano hostapd para fornecer operação do ponto de acesso e um servidor de autenticação, incluindo componentes como Autenticador WPA, cliente/servidor de autenticação RADIUS, servidor EAP. O código fonte do projeto é distribuído sob a licença BSD.

Além das mudanças funcionais, a nova versão bloqueia um novo vetor de ataque de canal lateral que afeta o método de negociação de conexão SAE (Autenticação Simultânea de Iguais) e o protocolo EAP-pwd. Um invasor que tenha a capacidade de executar código sem privilégios no sistema de um usuário conectado a uma rede sem fio pode, ao monitorar a atividade no sistema, obter informações sobre as características da senha e usá-las para simplificar a adivinhação de senha no modo offline. O problema é causado pelo vazamento por canais de terceiros de informações sobre as características da senha, o que permite, com base em dados indiretos, como alterações de atrasos durante as operações, esclarecer o acerto da escolha de partes da senha em o processo de seleção.

Ao contrário de problemas semelhantes corrigidos em 2019, a nova vulnerabilidade é causada pelo fato de que as primitivas criptográficas externas usadas na função crypto_ec_point_solve_y_coord() não fornecem um tempo de execução constante, independentemente da natureza dos dados que estão sendo processados. Com base na análise do comportamento do cache do processador, um invasor que tivesse a capacidade de executar código sem privilégios no mesmo núcleo do processador poderia obter informações sobre o andamento das operações de senha no SAE/EAP-pwd. O problema afeta todas as versões de wpa_supplicant e hostapd compiladas com suporte para SAE (CONFIG_SAE=y) e EAP-pwd (CONFIG_EAP_PWD=y).

Outras mudanças nas novas versões do hostapd e wpa_supplicant:

  • Adicionada a capacidade de construir com a biblioteca criptográfica OpenSSL 3.0.
  • Foi implementado o mecanismo Beacon Protection proposto na atualização da especificação WPA3, projetado para proteger contra ataques ativos à rede sem fio que manipulam alterações nos frames Beacon.
  • Adicionado suporte para DPP 2 (Wi-Fi Device Provisioning Protocol), que define o método de autenticação de chave pública usado no padrão WPA3 para configuração simplificada de dispositivos sem interface na tela. A configuração é realizada através de outro dispositivo mais avançado já conectado à rede wireless. Por exemplo, os parâmetros para um dispositivo IoT sem tela podem ser definidos a partir de um smartphone com base em um instantâneo de um código QR impresso na caixa;
  • Adicionado suporte para Extended Key ID (IEEE 802.11-2016).
  • O suporte para o mecanismo de segurança SAE-PK (chave pública SAE) foi adicionado à implementação do método de negociação de conexão SAE. É implementado um modo de envio instantâneo de confirmação, habilitado pela opção “sae_config_immediate=1”, bem como um mecanismo hash-to-element, habilitado quando o parâmetro sae_pwe é definido como 1 ou 2.
  • A implementação EAP-TLS adicionou suporte para TLS 1.3 (desativado por padrão).
  • Adicionadas novas configurações (max_auth_rounds, max_auth_rounds_short) para alterar os limites do número de mensagens EAP durante o processo de autenticação (alterações nos limites podem ser necessárias ao usar certificados muito grandes).
  • Adicionado suporte para o mecanismo PASN (Negociação de Segurança Pré-Associação) para estabelecer uma conexão segura e proteger a troca de quadros de controle em um estágio anterior de conexão.
  • Foi implementado o mecanismo Transition Disable, que permite desabilitar automaticamente o modo roaming, que permite alternar entre pontos de acesso conforme você se move, para aumentar a segurança.
  • O suporte para o protocolo WEP é excluído das compilações padrão (é necessária a reconstrução com a opção CONFIG_WEP=y para retornar o suporte WEP). Funcionalidade legada removida relacionada ao Inter-Access Point Protocol (IAPP). O suporte para libnl 1.1 foi descontinuado. Adicionada opção de compilação CONFIG_NO_TKIP=y para compilações sem suporte TKIP.
  • Corrigidas vulnerabilidades na implementação UPnP (CVE-2020-12695), no manipulador P2P/Wi-Fi Direct (CVE-2021-27803) e no mecanismo de proteção PMF (CVE-2019-16275).
  • As alterações específicas do Hostapd incluem suporte expandido para redes sem fio HEW (High-Efficiency Wireless, IEEE 802.11ax), incluindo a capacidade de usar a faixa de frequência de 6 GHz.
  • Mudanças específicas para wpa_supplicant:
    • Adicionado suporte para configurações de modo de ponto de acesso para SAE (WPA3-Personal).
    • O suporte ao modo P802.11P é implementado para canais EDMG (IEEE 2ay).
    • Melhor previsão de rendimento e seleção de BSS.
    • A interface de controle via D-Bus foi ampliada.
    • Um novo backend foi adicionado para armazenar senhas em um arquivo separado, permitindo remover informações confidenciais do arquivo de configuração principal.
    • Adicionadas novas políticas para SCS, MSCS e DSCP.

Fonte: opennet.ru

Adicionar um comentário