ProHoster > blog > habari za mtandao > Kutolewa kwa hostapd na wpa_supplicant 2.10

Kutolewa kwa hostapd na wpa_supplicant 2.10

Baada ya mwaka mmoja na nusu ya maendeleo, kutolewa kwa hostapd/wpa_supplicant 2.10 kumetayarishwa, seti ya kuunga mkono itifaki zisizo na waya IEEE 802.1X, WPA, WPA2, WPA3 na EAP, inayojumuisha programu ya wpa_supplicant kuunganisha kwenye mtandao wa wireless. kama mteja na mchakato wa usuli wa hostapd ili kutoa utendakazi wa sehemu ya ufikiaji na seva ya uthibitishaji, ikijumuisha vipengele kama vile Kithibitishaji cha WPA, mteja/seva ya uthibitishaji ya RADIUS, seva ya EAP. Msimbo wa chanzo wa mradi unasambazwa chini ya leseni ya BSD.

Kando na mabadiliko ya utendaji, toleo jipya huzuia vekta mpya ya mashambulizi ya pembeni inayoathiri njia ya uunganisho ya muunganisho wa SAE (Uthibitishaji Sambamba wa Sawa) na itifaki ya EAP-pwd. Mshambulizi ambaye ana uwezo wa kutekeleza msimbo ambao haujaidhinishwa kwenye mfumo wa mtumiaji anayeunganisha kwenye mtandao usiotumia waya anaweza, kwa kufuatilia shughuli kwenye mfumo, kupata taarifa kuhusu sifa za nenosiri na kuzitumia kurahisisha ubashiri wa nenosiri katika hali ya nje ya mtandao. Shida husababishwa na uvujaji kupitia njia za mtu wa tatu za habari juu ya sifa za nywila, ambayo inaruhusu, kwa msingi wa data isiyo ya moja kwa moja, kama vile mabadiliko ya ucheleweshaji wakati wa operesheni, kufafanua usahihi wa uchaguzi wa sehemu za nenosiri katika. mchakato wa kuichagua.

Tofauti na masuala kama haya yaliyorekebishwa mwaka wa 2019, athari mpya inasababishwa na ukweli kwamba maandishi ya awali ya kriptografia yaliyotumika katika chaguo za kukokotoa za crypto_ec_point_solve_y_coord() hayakutoa muda wa kudumu wa utekelezaji, bila kujali asili ya data inayochakatwa. Kulingana na uchanganuzi wa tabia ya akiba ya kichakataji, mshambulizi ambaye alikuwa na uwezo wa kutekeleza msimbo usio wa haki kwenye msingi sawa wa kichakataji angeweza kupata taarifa kuhusu maendeleo ya utendakazi wa nenosiri katika SAE/EAP-pwd. Tatizo linaathiri matoleo yote ya wpa_supplicant na hostapd iliyokusanywa kwa usaidizi wa SAE (CONFIG_SAE=y) na EAP-pwd (CONFIG_EAP_PWD=y).

Mabadiliko mengine katika matoleo mapya ya hostapd na wpa_supplicant:

  • Imeongeza uwezo wa kujenga na maktaba ya kriptografia ya OpenSSL 3.0.
  • Utaratibu wa Ulinzi wa Beacon uliopendekezwa katika sasisho la vipimo vya WPA3 umetekelezwa, iliyoundwa ili kulinda dhidi ya mashambulizi yanayoendelea kwenye mtandao wa wireless ambayo hubadilisha mabadiliko katika fremu za Beacon.
  • Usaidizi ulioongezwa kwa DPP 2 (Itifaki ya Utoaji wa Kifaa cha Wi-Fi), ambayo hufafanua mbinu ya uthibitishaji wa ufunguo wa umma unaotumiwa katika kiwango cha WPA3 kwa usanidi uliorahisishwa wa vifaa bila kiolesura cha skrini. Usanidi unafanywa kwa kutumia kifaa kingine cha juu zaidi ambacho tayari kimeunganishwa kwenye mtandao wa wireless. Kwa mfano, vigezo vya kifaa cha IoT bila skrini vinaweza kuwekwa kutoka kwa simu mahiri kulingana na muhtasari wa msimbo wa QR uliochapishwa kwenye kesi;
  • Usaidizi ulioongezwa kwa Kitambulisho cha Ufunguo Uliopanuliwa (IEEE 802.11-2016).
  • Usaidizi wa utaratibu wa usalama wa SAE-PK (SAE Public Key) umeongezwa kwa utekelezaji wa mbinu ya mazungumzo ya uunganisho wa SAE. Hali ya uthibitishaji wa kutuma papo hapo inatekelezwa, ikiwezeshwa na chaguo la "sae_config_immediate=1", pamoja na utaratibu wa kuharakisha hadi kipengele, unaowashwa wakati kigezo cha sae_pwe kimewekwa kuwa 1 au 2.
  • Utekelezaji wa EAP-TLS umeongeza usaidizi kwa TLS 1.3 (umezimwa kwa chaguomsingi).
  • Imeongeza mipangilio mipya (max_auth_rounds, max_auth_rounds_short) ili kubadilisha vikomo vya idadi ya jumbe za EAP wakati wa mchakato wa uthibitishaji (mabadiliko ya kikomo yanaweza kuhitajika unapotumia vyeti vikubwa sana).
  • Usaidizi ulioongezwa kwa utaratibu wa PASN (Pre Association Security Negotiation) wa kuanzisha muunganisho salama na kulinda ubadilishanaji wa fremu za udhibiti katika hatua ya awali ya muunganisho.
  • Utaratibu wa Kuzima kwa Mpito umetekelezwa, ambao hukuruhusu kuzima kiotomatiki modi ya uzururaji, ambayo hukuruhusu kubadili kati ya sehemu za ufikiaji unaposonga, ili kuimarisha usalama.
  • Usaidizi wa itifaki ya WEP haujumuishwi kwenye miundo chaguomsingi (kujenga upya kwa CONFIG_WEP=y chaguo inahitajika ili kurejesha usaidizi wa WEP). Imeondoa utendakazi wa urithi unaohusiana na Itifaki ya Ufikiaji wa Inter-Access (IAPP). Usaidizi wa libnl 1.1 umekatishwa. Chaguo la ujenzi lililoongezwa CONFIG_NO_TKIP=y kwa miundo bila usaidizi wa TKIP.
  • Athari zisizobadilika katika utekelezaji wa UPnP (CVE-2020-12695), katika kidhibiti cha moja kwa moja cha P2P/Wi-Fi (CVE-2021-27803) na utaratibu wa ulinzi wa PMF (CVE-2019-16275).
  • Mabadiliko mahususi ya Hostapd yanajumuisha usaidizi uliopanuliwa wa mitandao isiyotumia waya ya HEW (High-Efficiency Wireless, IEEE 802.11ax), ikijumuisha uwezo wa kutumia masafa ya 6 GHz.
  • Mabadiliko maalum kwa wpa_supplicant:
    • Usaidizi ulioongezwa kwa mipangilio ya hali ya ufikiaji wa SAE (WPA3-Personal).
    • Usaidizi wa hali ya P802.11P unatekelezwa kwa njia za EDMG (IEEE 2ay).
    • Utabiri ulioboreshwa wa matokeo na uteuzi wa BSS.
    • Kiolesura cha kudhibiti kupitia D-Bus kimepanuliwa.
    • Nyuma mpya imeongezwa kwa kuhifadhi nywila katika faili tofauti, kukuwezesha kuondoa taarifa nyeti kutoka kwa faili kuu ya usanidi.
    • Imeongeza sera mpya za SCS, MSCS na DSCP.

Chanzo: opennet.ru

Kuongeza maoni