Po roku a pol vývoja je pripravené vydanie hostapd/wpa_supplicant 2.10, sady na podporu bezdrôtových protokolov IEEE 802.1X, WPA, WPA2, WPA3 a EAP, pozostávajúcej z aplikácie wpa_supplicant na pripojenie k bezdrôtovej sieti. ako klienta a procesu na pozadí hostapd na zabezpečenie prevádzky prístupového bodu a autentifikačného servera, vrátane komponentov ako WPA Authenticator, RADIUS autentifikačný klient/server, EAP server. Zdrojový kód projektu je šírený pod licenciou BSD.
Okrem funkčných zmien blokuje nová verzia aj nový vektor útoku na bočný kanál ovplyvňujúci metódu vyjednávania spojenia SAE (Simultaneous Authentication of Equals) a protokol EAP-pwd. Útočník, ktorý má schopnosť spustiť neprivilegovaný kód v systéme používateľa pripájajúceho sa k bezdrôtovej sieti, môže monitorovaním aktivity v systéme získať informácie o vlastnostiach hesla a použiť ich na zjednodušenie hádania hesiel v režime offline. Problém je spôsobený únikom informácií o vlastnostiach hesla cez kanály tretích strán, čo umožňuje na základe nepriamych údajov, ako sú zmeny oneskorení počas operácií, objasniť správnosť výberu častí hesla v proces jej výberu.
Na rozdiel od podobných problémov opravených v roku 2019 je nová zraniteľnosť spôsobená skutočnosťou, že externé kryptografické primitívy použité vo funkcii crypto_ec_point_solve_y_coord() neposkytovali konštantný čas vykonávania bez ohľadu na povahu spracovávaných údajov. Na základe analýzy správania vyrovnávacej pamäte procesora mohol útočník, ktorý mal možnosť spustiť neprivilegovaný kód na rovnakom jadre procesora, získať informácie o priebehu operácií s heslom v SAE/EAP-pwd. Problém sa týka všetkých verzií wpa_supplicant a hostapd skompilovaných s podporou SAE (CONFIG_SAE=y) a EAP-pwd (CONFIG_EAP_PWD=y).
Ďalšie zmeny v nových vydaniach hostapd a wpa_supplicant:
- Pridaná možnosť budovania s kryptografickou knižnicou OpenSSL 3.0.
- Bol implementovaný mechanizmus ochrany Beacon, navrhnutý v aktualizácii špecifikácie WPA3, navrhnutý na ochranu pred aktívnymi útokmi na bezdrôtovú sieť, ktoré manipulujú so zmenami v rámcoch Beacon.
- Pridaná podpora pre DPP 2 (Wi-Fi Device Provisioning Protocol), ktorý definuje metódu autentifikácie verejným kľúčom používanú v štandarde WPA3 pre zjednodušenú konfiguráciu zariadení bez rozhrania na obrazovke. Nastavenie sa vykonáva pomocou iného pokročilejšieho zariadenia, ktoré je už pripojené k bezdrôtovej sieti. Napríklad parametre pre IoT zariadenie bez obrazovky je možné nastaviť zo smartfónu na základe snímky QR kódu vytlačeného na obale;
- Pridaná podpora pre Extended Key ID (IEEE 802.11-2016).
- Do implementácie metódy vyjednávania spojenia SAE bola pridaná podpora bezpečnostného mechanizmu SAE-PK (SAE Public Key). Je implementovaný režim okamžitého odosielania potvrdenia, povolený voľbou „sae_config_immediate=1“, ako aj mechanizmus hash-to-element, povolený, keď je parameter sae_pwe nastavený na 1 alebo 2.
- Implementácia EAP-TLS pridala podporu pre TLS 1.3 (v predvolenom nastavení vypnuté).
- Pridané nové nastavenia (max_auth_rounds, max_auth_rounds_short) na zmenu limitov na počet správ EAP počas procesu autentifikácie (zmeny limitov môžu byť potrebné pri použití veľmi veľkých certifikátov).
- Pridaná podpora pre mechanizmus PASN (Pre Association Security Negotiation) na vytvorenie bezpečného spojenia a ochranu výmeny riadiacich rámcov v skoršej fáze pripojenia.
- Bol implementovaný mechanizmus Transition Disable, ktorý vám umožňuje automaticky deaktivovať režim roamingu, ktorý vám umožňuje prepínať medzi prístupovými bodmi počas pohybu, aby sa zvýšila bezpečnosť.
- Podpora protokolu WEP je vylúčená z predvolených verzií (na obnovenie podpory WEP je potrebné opätovné zostavenie s voľbou CONFIG_WEP=y). Odstránená staršia funkcia súvisiaca s protokolom Inter-Access Point Protocol (IAPP). Podpora pre libnl 1.1 bola ukončená. Pridaná možnosť zostavenia CONFIG_NO_TKIP=y pre zostavy bez podpory TKIP.
- Opravené chyby v implementácii UPnP (CVE-2020-12695), v obslužnom programe P2P/Wi-Fi Direct (CVE-2021-27803) a v mechanizme ochrany PMF (CVE-2019-16275).
- Zmeny špecifické pre Hostapd zahŕňajú rozšírenú podporu bezdrôtových sietí HEW (High-Efficiency Wireless, IEEE 802.11ax) vrátane možnosti využívať frekvenčný rozsah 6 GHz.
- Zmeny špecifické pre wpa_supplicant:
- Pridaná podpora pre nastavenia režimu prístupového bodu pre SAE (WPA3-Personal).
- Podpora režimu P802.11P je implementovaná pre kanály EDMG (IEEE 2ay).
- Vylepšená predikcia priepustnosti a výber BSS.
- Rozšírené bolo ovládacie rozhranie cez D-Bus.
- Bol pridaný nový backend na ukladanie hesiel v samostatnom súbore, čo vám umožňuje odstrániť citlivé informácie z hlavného konfiguračného súboru.
- Pridané nové politiky pre SCS, MSCS a DSCP.
Zdroj: opennet.ru