ProHoster > Blog > internetne novice > Izdaja hostapd in wpa_supplicant 2.10

Izdaja hostapd in wpa_supplicant 2.10

Po letu in pol razvoja je bila pripravljena izdaja hostapd/wpa_supplicant 2.10, kompleta za poganjanje brezžičnih protokolov IEEE 802.1X, WPA, WPA2, WPA3 in EAP, ki ga sestavlja aplikacija wpa_supplicant za povezovanje v brezžično omrežje. kot odjemalec in postopek v ozadju hostapd za izvajanje dostopne točke in strežnika za preverjanje pristnosti, vključno s komponentami, kot so WPA Authenticator, odjemalec/strežnik za preverjanje pristnosti RADIUS, strežnik EAP. Izvorna koda projekta se distribuira pod licenco BSD.

Poleg funkcionalnih sprememb nova različica blokira nov vektor napada stranskega kanala, ki vpliva na metodo pogajanja o povezavi SAE (Simultaneous Authentication of Equals) in protokol EAP-pwd. Napadalec, ki ima možnost izvajanja neprivilegirane kode na sistemu uporabnika, ki se povezuje v brezžično omrežje, lahko s spremljanjem aktivnosti v sistemu pridobi podatke o značilnostih gesel in jih uporabi za poenostavitev ugibanja gesel v načinu brez povezave. Težavo povzroča uhajanje informacij o značilnostih gesla prek kanalov tretjih oseb, kar omogoča, da na podlagi posrednih podatkov, kot so spremembe zakasnitev med delovanjem, razjasnimo pravilnost izbire delov gesla v postopek izbire.

Za razliko od podobnih težav, ki so bile odpravljene leta 2019, je nova ranljivost posledica dejstva, da zunanji kriptografski primitivi, uporabljeni v funkciji crypto_ec_point_solve_y_coord(), niso zagotovili stalnega časa izvajanja, ne glede na naravo podatkov, ki se obdelujejo. Na podlagi analize obnašanja procesorskega predpomnilnika je lahko napadalec, ki je imel možnost izvajanja neprivilegirane kode na istem procesorskem jedru, pridobil informacije o napredku operacij gesla v SAE/EAP-pwd. Težava vpliva na vse različice wpa_supplicant in hostapd, prevedene s podporo za SAE (CONFIG_SAE=y) in EAP-pwd (CONFIG_EAP_PWD=y).

Druge spremembe v novih izdajah hostapd in wpa_supplicant:

  • Dodana možnost gradnje s kriptografsko knjižnico OpenSSL 3.0.
  • Mehanizem Beacon Protection, predlagan v posodobitvi specifikacije WPA3, je bil implementiran za zaščito pred aktivnimi napadi na brezžično omrežje, ki manipulirajo s spremembami v okvirih Beacon.
  • Dodana podpora za DPP 2 (Wi-Fi Device Provisioning Protocol), ki definira metodo avtentikacije javnega ključa, ki se uporablja v standardu WPA3 za poenostavljeno konfiguracijo naprav brez vmesnika na zaslonu. Nastavitev se izvede z drugo naprednejšo napravo, ki je že povezana v brezžično omrežje. Na primer, parametre za napravo IoT brez zaslona je mogoče nastaviti s pametnega telefona na podlagi posnetka kode QR, natisnjene na ohišju;
  • Dodana podpora za ID razširjenega ključa (IEEE 802.11-2016).
  • Izvedbi metode pogajanja o povezavi SAE je bila dodana podpora za varnostni mehanizem SAE-PK (javni ključ SAE). Implementiran je način za takojšnje pošiljanje potrditve, ki ga omogoča možnost »sae_config_immediate=1«, kot tudi mehanizem zgoščevanja v element, ki je omogočen, ko je parameter sae_pwe nastavljen na 1 ali 2.
  • Izvedba EAP-TLS ima dodano podporo za TLS 1.3 (privzeto onemogočeno).
  • Dodane nove nastavitve (max_auth_rounds, max_auth_rounds_short) za spreminjanje omejitev števila sporočil EAP med postopkom preverjanja pristnosti (pri uporabi zelo velikih potrdil bodo morda potrebne spremembe omejitev).
  • Dodana podpora za mehanizem PASN (Pre Association Security Negotiation) za vzpostavitev varne povezave in zaščito izmenjave nadzornih okvirjev v prejšnji fazi povezave.
  • Implementiran je mehanizem Transition Disable, ki vam omogoča samodejno onemogočanje načina gostovanja, ki vam omogoča preklapljanje med dostopnimi točkami, ko se premikate, za izboljšanje varnosti.
  • Podpora za protokol WEP je izključena iz privzetih gradenj (za vrnitev podpore WEP je potrebna vnovična izgradnja z možnostjo CONFIG_WEP=y). Odstranjena podedovana funkcionalnost, povezana s protokolom med dostopovnimi točkami (IAPP). Podpora za libnl 1.1 je bila ukinjena. Dodana možnost gradnje CONFIG_NO_TKIP=y za gradnje brez podpore TKIP.
  • Odpravljene ranljivosti v implementaciji UPnP (CVE-2020-12695), v upravljalniku P2P/Wi-Fi Direct (CVE-2021-27803) in v zaščitnem mehanizmu PMF (CVE-2019-16275).
  • Spremembe, specifične za Hostapd, vključujejo razširjeno podporo za brezžična omrežja HEW (High-Efficiency Wireless, IEEE 802.11ax), vključno z možnostjo uporabe frekvenčnega območja 6 GHz.
  • Spremembe, specifične za wpa_supplicant:
    • Dodana podpora za nastavitve načina dostopne točke za SAE (WPA3-Personal).
    • Podpora za način P802.11P je implementirana za kanale EDMG (IEEE 2ay).
    • Izboljšano predvidevanje prepustnosti in izbira BSS.
    • Nadzorni vmesnik prek D-Bus je razširjen.
    • Dodano je bilo novo zaledje za shranjevanje gesel v ločeni datoteki, kar vam omogoča, da odstranite občutljive informacije iz glavne konfiguracijske datoteke.
    • Dodani novi pravilniki za SCS, MSCS in DSCP.

Vir: opennet.ru

Dodaj komentar