ProHoster > Blog > warta internét > Pelepasan hostapd sareng wpa_supplicant 2.10

Pelepasan hostapd sareng wpa_supplicant 2.10

Saatos sataun satengah pangwangunan, sékrési hostapd/wpa_supplicant 2.10 parantos disiapkeun, sakumpulan pikeun ngadukung protokol nirkabel IEEE 802.1X, WPA, WPA2, WPA3 sareng EAP, diwangun ku aplikasi wpa_supplicant pikeun nyambung ka jaringan nirkabel. salaku klien tur prosés tukang hostapd nyadiakeun operasi titik aksés jeung hiji server auténtikasi, kaasup komponén kayaning WPA Authenticator, RADIUS auténtikasi klien / server, server EAP. Kodeu sumber proyék disebarkeun dina lisénsi BSD.

Salian parobahan fungsional, versi anyar ngablokir vektor serangan saluran sisi anyar anu mangaruhan kana metode negosiasi sambungan SAE (Simultaneous of Equals) sareng protokol EAP-pwd. Panyerang anu gaduh kamampuan pikeun ngaéksekusi kode anu teu aya hak istimewa dina sistem pangguna anu nyambung ka jaringan nirkabel tiasa, ku ngawas kagiatan dina sistem, kéngingkeun inpormasi ngeunaan karakteristik sandi sareng dianggo pikeun nyederhanakeun nebak sandi dina modeu offline. Masalahna disababkeun ku leakage ngaliwatan saluran pihak katilu inpormasi ngeunaan karakteristik sandi, anu ngamungkinkeun, dumasar kana data teu langsung, kayaning parobahan telat salila operasi, netelakeun correctness tina pilihan bagian tina sandi dina. prosés milih éta.

Beda sareng masalah anu sami anu dibereskeun dina taun 2019, kerentanan anyar disababkeun ku kanyataan yén primitif kriptografi éksternal anu dianggo dina fungsi crypto_ec_point_solve_y_coord() henteu masihan waktos palaksanaan konstan, henteu paduli sifat data anu diolah. Dumasar kana analisa paripolah cache prosésor, panyerang anu ngagaduhan kamampuan pikeun ngajalankeun kode anu henteu privileged dina inti prosesor anu sami tiasa nampi inpormasi ngeunaan kamajuan operasi sandi dina SAE / EAP-pwd. Masalahna mangaruhan sadaya vérsi wpa_supplicant sareng hostapd anu disusun kalayan dukungan pikeun SAE (CONFIG_SAE = y) sareng EAP-pwd (CONFIG_EAP_PWD = y).

Parobihan sanés dina sékrési anyar hostapd sareng wpa_supplicant:

  • Ditambahkeun kamampuan ngawangun sareng perpustakaan kriptografi OpenSSL 3.0.
  • Mékanisme Beacon Protection anu diusulkeun dina apdet spésifikasi WPA3 parantos dilaksanakeun, dirancang pikeun ngajagaan tina serangan aktip dina jaringan nirkabel anu ngamanipulasi parobahan dina pigura Beacon.
  • Ditambahkeun dukungan pikeun DPP 2 (Wi-Fi Device Provisioning Protocol), anu netepkeun metode auténtikasi konci umum anu dianggo dina standar WPA3 pikeun konfigurasi saderhana alat tanpa antarmuka dina layar. Setup dilaksanakeun nganggo alat anu langkung canggih anu tos nyambung ka jaringan nirkabel. Salaku conto, parameter pikeun alat IoT tanpa layar tiasa diatur tina smartphone dumasar kana snapshot tina kode QR anu dicitak dina kasus éta;
  • Ditambahkeun dukungan pikeun Extended Key ID (IEEE 802.11-2016).
  • Rojongan pikeun mékanisme kaamanan SAE-PK (SAE Public Key) geus ditambahkeun kana palaksanaan metoda rundingan sambungan SAE. Modeu pikeun ngirim konfirmasi langsung dilaksanakeun, diaktipkeun ku pilihan "sae_config_immediate=1", ogé mékanisme hash-to-element, diaktipkeun nalika parameter sae_pwe disetel ka 1 atanapi 2.
  • Palaksanaan EAP-TLS parantos nambihan dukungan pikeun TLS 1.3 (ditumpurkeun sacara standar).
  • Ditambahkeun setélan anyar (max_auth_rounds, max_auth_rounds_short) pikeun ngarobah wates dina jumlah seratan EAP salila prosés auténtikasi (parobahan wates bisa jadi diperlukeun nalika ngagunakeun sertipikat kacida gedéna).
  • Ditambahkeun rojongan pikeun mékanisme PASN (Pre Association Kaamanan Negotiation) pikeun ngadegkeun sambungan aman tur ngajaga bursa pigura kontrol dina tahap sambungan saméméhna.
  • mékanisme Transisi Pareuman geus dilaksanakeun, nu ngidinan Anjeun pikeun otomatis mareuman mode roaming, nu ngidinan Anjeun pikeun pindah antara titik aksés mun anjeun mindahkeun, pikeun ngaronjatkeun kaamanan.
  • Rojongan pikeun protokol WEP teu kaasup ti wangunan standar (rebuilding jeung CONFIG_WEP=y pilihan diperlukeun pikeun balik rojongan WEP). Dipiceun fungsionalitas warisan patali Inter-Access Point Protocol (IAPP). Rojongan pikeun libnl 1.1 parantos dileungitkeun. Ditambahkeun pilihan ngawangun CONFIG_NO_TKIP = y pikeun ngawangun tanpa dukungan TKIP.
  • Kerentanan tetep dina palaksanaan UPnP (CVE-2020-12695), dina panangan P2P / Wi-Fi Direct (CVE-2021-27803) sareng dina mékanisme panyalindungan PMF (CVE-2019-16275).
  • Parobahan husus Hostapd ngawengku rojongan dimekarkeun pikeun HEW (High-Efficiency Wireless, IEEE 802.11ax) jaringan nirkabel, kaasup kamampuhan pikeun ngagunakeun rentang frékuénsi 6 GHz.
  • Parobahan husus pikeun wpa_supplicant:
    • Ditambahkeun rojongan pikeun setelan mode titik aksés pikeun SAE (WPA3-Personal).
    • Pangrojong mode P802.11P dilaksanakeun pikeun saluran EDMG (IEEE 2ay).
    • Ningkatkeun prediksi throughput sareng pilihan BSS.
    • Antarbeungeut kontrol via D-Bus parantos dilegakeun.
    • A backend anyar geus ditambahkeun pikeun nyimpen kecap akses dina file misah, ngidinan Anjeun pikeun miceun informasi sénsitip tina file konfigurasi utama.
    • Ditambahkeun kawijakan anyar pikeun SCS, MSCS na DSCP.

sumber: opennet.ru

Tambahkeun komentar