ProHoster > Blog > lajme në internet > Lëshimi i hostapd dhe wpa_supplicant 2.10

Lëshimi i hostapd dhe wpa_supplicant 2.10

Pas një viti e gjysmë zhvillimi, është përgatitur lëshimi i hostapd/wpa_supplicant 2.10, një grup për mbështetjen e protokolleve me valë IEEE 802.1X, WPA, WPA2, WPA3 dhe EAP, i përbërë nga aplikacioni wpa_supplicant për t'u lidhur me një rrjet pa tel. si klient dhe procesi i sfondit të hostapd-it për të ofruar funksionimin e pikës së aksesit dhe një serveri vërtetimi, duke përfshirë komponentë të tillë si Vërtetuesi WPA, klienti/serveri i vërtetimit RADIUS, serveri EAP. Kodi burimor i projektit shpërndahet nën licencën BSD.

Përveç ndryshimeve funksionale, versioni i ri bllokon një vektor të ri sulmi të kanalit anësor që ndikon në metodën e negocimit të lidhjes SAE (Vërtetimi i njëkohshëm i të barabartëve) dhe protokollin EAP-pwd. Një sulmues që ka aftësinë për të ekzekutuar kodin e paprivilegjuar në sistemin e një përdoruesi që lidhet me një rrjet pa tel, duke monitoruar aktivitetin në sistem, mund të marrë informacion rreth karakteristikave të fjalëkalimit dhe t'i përdorë ato për të thjeshtuar gjetjen e fjalëkalimit në modalitetin offline. Problemi shkaktohet nga rrjedhja përmes kanaleve të palëve të treta të informacionit në lidhje me karakteristikat e fjalëkalimit, i cili lejon, bazuar në të dhëna indirekte, siç janë ndryshimet në vonesat gjatë operacioneve, të sqarohet korrektësia e zgjedhjes së pjesëve të fjalëkalimit në procesin e përzgjedhjes së tij.

Ndryshe nga çështjet e ngjashme të rregulluara në vitin 2019, dobësia e re shkaktohet nga fakti se primitivet e jashtme kriptografike të përdorura në funksionin crypto_ec_point_solve_y_coord() nuk siguruan një kohë të vazhdueshme ekzekutimi, pavarësisht nga natyra e të dhënave që përpunohen. Bazuar në analizën e sjelljes së cache-it të procesorit, një sulmues që kishte aftësinë për të ekzekutuar kodin e paprivilegjuar në të njëjtën bërthamë procesori mund të merrte informacion në lidhje me ecurinë e operacioneve të fjalëkalimit në SAE/EAP-pwd. Problemi prek të gjitha versionet e wpa_supplicant dhe hostapd të përpiluar me mbështetje për SAE (CONFIG_SAE=y) dhe EAP-pwd (CONFIG_EAP_PWD=y).

Ndryshime të tjera në versionet e reja të hostapd dhe wpa_supplicant:

  • U shtua aftësia për të ndërtuar me bibliotekën kriptografike OpenSSL 3.0.
  • Mekanizmi Beacon Protection i propozuar në përditësimin e specifikimeve WPA3 është zbatuar, i projektuar për të mbrojtur kundër sulmeve aktive në rrjetin me valë që manipulojnë ndryshimet në kornizat e Beacon.
  • Mbështetje e shtuar për DPP 2 (Protokolli i Sigurimit të Pajisjes Wi-Fi), i cili përcakton metodën e vërtetimit të çelësit publik të përdorur në standardin WPA3 për konfigurimin e thjeshtuar të pajisjeve pa një ndërfaqe në ekran. Konfigurimi kryhet duke përdorur një pajisje tjetër më të avancuar të lidhur tashmë me rrjetin me valë. Për shembull, parametrat për një pajisje IoT pa ekran mund të vendosen nga një smartphone bazuar në një fotografi të një kodi QR të printuar në kasë;
  • Mbështetje e shtuar për ID-në e çelësit të zgjeruar (IEEE 802.11-2016).
  • Mbështetja për mekanizmin e sigurisë SAE-PK (Çelësi Publik SAE) është shtuar në zbatimin e metodës së negocimit të lidhjes SAE. Zbatohet një modalitet për dërgimin e menjëhershëm të konfirmimit, i aktivizuar nga opsioni "sae_config_immediate=1", si dhe një mekanizëm hash-to-element, i aktivizuar kur parametri sae_pwe vendoset në 1 ose 2.
  • Zbatimi EAP-TLS ka shtuar mbështetjen për TLS 1.3 (i çaktivizuar si parazgjedhje).
  • U shtuan cilësime të reja (max_auth_rounds, max_auth_rounds_short) për të ndryshuar kufijtë në numrin e mesazheve EAP gjatë procesit të vërtetimit (ndryshimet në kufij mund të kërkohen kur përdoren certifikata shumë të mëdha).
  • Mbështetje e shtuar për mekanizmin PASN (Pre Association Security Negotiation) për krijimin e një lidhjeje të sigurt dhe mbrojtjen e shkëmbimit të kornizave të kontrollit në një fazë të mëparshme të lidhjes.
  • Është implementuar mekanizmi Transition Disable, i cili ju lejon të çaktivizoni automatikisht modalitetin e roaming, i cili ju lejon të kaloni midis pikave të hyrjes ndërsa lëvizni, për të rritur sigurinë.
  • Mbështetja për protokollin WEP është e përjashtuar nga ndërtimet e paracaktuara (kërkohet rindërtimi me opsionin CONFIG_WEP=y për të kthyer mbështetjen e WEP). U hoq funksionaliteti i trashëguar në lidhje me Protokollin e Pikave të Qasjes Inter-Access (IAPP). Mbështetja për libnl 1.1 është ndërprerë. U shtua opsioni i ndërtimit CONFIG_NO_TKIP=y për ndërtime pa mbështetje TKIP.
  • Rregulloi dobësitë në zbatimin UPnP (CVE-2020-12695), në mbajtësin P2P/Wi-Fi Direct (CVE-2021-27803) dhe në mekanizmin e mbrojtjes PMF (CVE-2019-16275).
  • Ndryshimet specifike të Hostapd përfshijnë mbështetje të zgjeruar për rrjetet pa tel HEW (High-Efficiency Wireless, IEEE 802.11ax), duke përfshirë aftësinë për të përdorur diapazonin e frekuencës 6 GHz.
  • Ndryshimet specifike për wpa_supplicant:
    • Mbështetje e shtuar për cilësimet e modalitetit të pikës së hyrjes për SAE (WPA3-Personal).
    • Mbështetja e modalitetit P802.11P zbatohet për kanalet EDMG (IEEE 2ay).
    • Parashikimi i përmirësuar i xhiros dhe përzgjedhja e BSS.
    • Ndërfaqja e kontrollit nëpërmjet D-Bus është zgjeruar.
    • Një backend i ri është shtuar për ruajtjen e fjalëkalimeve në një skedar të veçantë, duke ju lejuar të hiqni informacione të ndjeshme nga skedari kryesor i konfigurimit.
    • U shtuan politika të reja për SCS, MSCS dhe DSCP.

Burimi: opennet.ru

Shto një koment