ProHoster > blogg > internetnyheter > Release av hostapd och wpa_supplicant 2.10

Release av hostapd och wpa_supplicant 2.10

Efter ett och ett halvt år av utveckling har lanseringen av hostapd/wpa_supplicant 2.10 förberetts, en uppsättning för att stödja de trådlösa protokollen IEEE 802.1X, WPA, WPA2, WPA3 och EAP, bestående av applikationen wpa_supplicant för att ansluta till ett trådlöst nätverk som en klient och hostapd-bakgrundsprocessen för att tillhandahålla drift av åtkomstpunkten och en autentiseringsserver, inklusive komponenter som WPA Authenticator, RADIUS-autentiseringsklient/server, EAP-server. Källkoden för projektet distribueras under BSD-licensen.

Förutom funktionsändringar blockerar den nya versionen en ny sidokanalsattackvektor som påverkar SAE (Simultaneous Authentication of Equals) anslutningsförhandlingsmetoden och EAP-pwd-protokollet. En angripare som har förmågan att exekvera oprivilegierad kod på systemet för en användare som ansluter till ett trådlöst nätverk kan genom att övervaka aktiviteten på systemet få information om lösenordets egenskaper och använda det för att förenkla lösenordsgissning i offlineläge. Problemet orsakas av läckage genom tredje parts kanaler av information om egenskaperna hos lösenordet, vilket gör det möjligt att, baserat på indirekta data, såsom förändringar i förseningar under driften, klargöra korrektheten av valet av delar av lösenordet i processen att välja den.

Till skillnad från liknande problem som fixades 2019, orsakas den nya sårbarheten av det faktum att de externa kryptografiska primitiva som används i funktionen crypto_ec_point_solve_y_coord() inte gav en konstant körningstid, oavsett vilken typ av data som bearbetades. Baserat på analysen av beteendet hos processorcachen kunde en angripare som hade förmågan att köra oprivilegierad kod på samma processorkärna få information om hur lösenordsoperationer fortskrider i SAE/EAP-pwd. Problemet påverkar alla versioner av wpa_supplicant och hostapd kompilerade med stöd för SAE (CONFIG_SAE=y) och EAP-pwd (CONFIG_EAP_PWD=y).

Andra ändringar i de nya versionerna av hostapd och wpa_supplicant:

  • Lade till möjligheten att bygga med OpenSSL 3.0 kryptografiska bibliotek.
  • Beacon Protection-mekanismen som föreslås i WPA3-specifikationsuppdateringen har implementerats, designad för att skydda mot aktiva attacker på det trådlösa nätverket som manipulerar ändringar i Beacon-ramar.
  • Tillagt stöd för DPP 2 (Wi-Fi Device Provisioning Protocol), som definierar autentiseringsmetoden för publik nyckel som används i WPA3-standarden för förenklad konfiguration av enheter utan gränssnitt på skärmen. Installationen utförs med en annan mer avancerad enhet som redan är ansluten till det trådlösa nätverket. Till exempel kan parametrar för en IoT-enhet utan skärm ställas in från en smartphone baserat på en ögonblicksbild av en QR-kod tryckt på fodralet;
  • Tillagt stöd för utökat nyckel-ID (IEEE 802.11-2016).
  • Stöd för SAE-PK (SAE Public Key) säkerhetsmekanism har lagts till i implementeringen av SAE-anslutningsförhandlingsmetoden. Ett läge för att omedelbart skicka bekräftelse är implementerat, aktiverat av alternativet "sae_config_immediate=1", såväl som en hash-till-element-mekanism, aktiverad när sae_pwe-parametern är inställd på 1 eller 2.
  • EAP-TLS-implementeringen har lagt till stöd för TLS 1.3 (inaktiverat som standard).
  • Lade till nya inställningar (max_auth_rounds, max_auth_rounds_short) för att ändra gränserna för antalet EAP-meddelanden under autentiseringsprocessen (ändringar i gränserna kan krävas när mycket stora certifikat används).
  • Lade till stöd för PASN-mekanismen (Pre Association Security Negotiation) för att etablera en säker anslutning och skydda utbytet av kontrollramar i ett tidigare anslutningsskede.
  • Övergångsavaktiveringsmekanismen har implementerats, vilket gör att du automatiskt kan inaktivera roamingläget, vilket gör att du kan växla mellan åtkomstpunkter när du flyttar, för att öka säkerheten.
  • Stöd för WEP-protokollet är uteslutet från standardbyggen (ombyggnad med alternativet CONFIG_WEP=y krävs för att returnera WEP-stöd). Borttagen äldre funktionalitet relaterad till Inter-Access Point Protocol (IAPP). Stödet för libnl 1.1 har upphört. Lade till byggalternativ CONFIG_NO_TKIP=y för byggen utan TKIP-stöd.
  • Fixade sårbarheter i UPnP-implementeringen (CVE-2020-12695), i P2P/Wi-Fi Direct-hanteraren (CVE-2021-27803) och i PMF-skyddsmekanismen (CVE-2019-16275).
  • Hostapd-specifika ändringar inkluderar utökat stöd för trådlösa HEW-nätverk (High-Efficiency Wireless, IEEE 802.11ax), inklusive möjligheten att använda 6 GHz-frekvensområdet.
  • Ändringar specifika för wpa_supplicant:
    • Tillagt stöd för åtkomstpunktslägesinställningar för SAE (WPA3-Personal).
    • P802.11P-lägesstöd implementeras för EDMG-kanaler (IEEE 2ay).
    • Förbättrad genomströmningsförutsägelse och BSS-val.
    • Styrgränssnittet via D-Bus har utökats.
    • En ny backend har lagts till för att lagra lösenord i en separat fil, så att du kan ta bort känslig information från huvudkonfigurationsfilen.
    • Lade till nya policyer för SCS, MSCS och DSCP.

Källa: opennet.ru

Lägg en kommentar