โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > การเปิดตัว hostapd และ wpa_supplicant 2.10

การเปิดตัว hostapd และ wpa_supplicant 2.10

หลังจากหนึ่งปีครึ่งของการพัฒนา ได้มีการเตรียมการเปิดตัว hostapd/wpa_supplicant 2.10 ซึ่งเป็นชุดสำหรับรองรับโปรโตคอลไร้สาย IEEE 802.1X, WPA, WPA2, WPA3 และ EAP ซึ่งประกอบด้วยแอปพลิเคชัน wpa_supplicant เพื่อเชื่อมต่อกับเครือข่ายไร้สาย เป็นไคลเอนต์และกระบวนการพื้นหลังของโฮสต์apd เพื่อให้การทำงานของจุดเข้าใช้งานและเซิร์ฟเวอร์การตรวจสอบความถูกต้อง รวมถึงส่วนประกอบต่างๆ เช่น WPA Authenticator, ไคลเอนต์/เซิร์ฟเวอร์การตรวจสอบความถูกต้อง RADIUS, เซิร์ฟเวอร์ EAP ซอร์สโค้ดของโครงการได้รับการเผยแพร่ภายใต้ใบอนุญาต BSD

นอกเหนือจากการเปลี่ยนแปลงการทำงานแล้ว เวอร์ชันใหม่ยังบล็อกเวกเตอร์การโจมตีช่องทางด้านข้างใหม่ที่ส่งผลต่อวิธีการเจรจาการเชื่อมต่อ SAE (Simultaneous Authentication of Equals) และโปรโตคอล EAP-pwd ผู้โจมตีที่มีความสามารถในการรันโค้ดที่ไม่มีสิทธิ์บนระบบของผู้ใช้ที่เชื่อมต่อกับเครือข่ายไร้สายสามารถรับข้อมูลเกี่ยวกับคุณลักษณะของรหัสผ่านและใช้เพื่อทำให้การเดารหัสผ่านง่ายขึ้นในโหมดออฟไลน์ได้โดยการตรวจสอบกิจกรรมบนระบบ ปัญหาเกิดจากการรั่วไหลของข้อมูลเกี่ยวกับคุณลักษณะของรหัสผ่านผ่านช่องทางบุคคลที่สามซึ่งช่วยให้สามารถชี้แจงความถูกต้องของการเลือกส่วนต่างๆ ของรหัสผ่านตามข้อมูลทางอ้อม เช่น การเปลี่ยนแปลงความล่าช้าระหว่างการดำเนินการ กระบวนการคัดเลือกมัน

ช่องโหว่ใหม่นี้แตกต่างจากปัญหาที่คล้ายกันที่แก้ไขในปี 2019 เนื่องจากมีสาเหตุมาจากความจริงที่ว่าการเข้ารหัสลับภายนอกที่ใช้ในฟังก์ชัน crypto_ec_point_solve_y_coord() ไม่ได้ให้เวลาดำเนินการคงที่ โดยไม่คำนึงถึงลักษณะของข้อมูลที่กำลังประมวลผล จากการวิเคราะห์พฤติกรรมของแคชโปรเซสเซอร์ ผู้โจมตีที่สามารถเรียกใช้โค้ดที่ไม่มีสิทธิ์บนคอร์โปรเซสเซอร์เดียวกันสามารถรับข้อมูลเกี่ยวกับความคืบหน้าของการดำเนินการรหัสผ่านใน SAE/EAP-pwd ปัญหานี้ส่งผลต่อ wpa_supplicant และ hostapd ทุกเวอร์ชันที่คอมไพล์โดยรองรับ SAE (CONFIG_SAE=y) และ EAP-pwd (CONFIG_EAP_PWD=y)

การเปลี่ยนแปลงอื่นๆ ใน hostapd และ wpa_supplicant รุ่นใหม่:

  • เพิ่มความสามารถในการสร้างด้วยไลบรารีการเข้ารหัส OpenSSL 3.0
  • กลไกการป้องกันบีคอนที่นำเสนอในการอัปเดตข้อกำหนด WPA3 ได้รับการปรับใช้ ซึ่งได้รับการออกแบบมาเพื่อป้องกันการโจมตีที่ใช้งานอยู่บนเครือข่ายไร้สายที่จัดการการเปลี่ยนแปลงในเฟรมบีคอน
  • เพิ่มการรองรับ DPP 2 (Wi-Fi Device Provisioning Protocol) ซึ่งกำหนดวิธีการตรวจสอบสิทธิ์คีย์สาธารณะที่ใช้ในมาตรฐาน WPA3 เพื่อการกำหนดค่าอุปกรณ์ที่ง่ายขึ้นโดยไม่มีอินเทอร์เฟซบนหน้าจอ การติดตั้งดำเนินการโดยใช้อุปกรณ์ขั้นสูงอื่นที่เชื่อมต่อกับเครือข่ายไร้สายอยู่แล้ว ตัวอย่างเช่น พารามิเตอร์สำหรับอุปกรณ์ IoT ที่ไม่มีหน้าจอสามารถตั้งค่าได้จากสมาร์ทโฟนโดยอิงตามสแน็ปช็อตของโค้ด QR ที่พิมพ์อยู่บนเคส
  • เพิ่มการรองรับ Extended Key ID (IEEE 802.11-2016)
  • มีการเพิ่มการสนับสนุนสำหรับกลไกการรักษาความปลอดภัย SAE-PK (SAE Public Key) ในการใช้วิธีการเจรจาการเชื่อมต่อ SAE โหมดสำหรับการยืนยันการส่งทันทีถูกใช้งาน ซึ่งเปิดใช้งานโดยตัวเลือก “sae_config_immediate=1” เช่นเดียวกับกลไกแฮชต่อองค์ประกอบ ซึ่งเปิดใช้งานเมื่อพารามิเตอร์ sae_pwe ถูกตั้งค่าเป็น 1 หรือ 2
  • การใช้งาน EAP-TLS ได้เพิ่มการรองรับ TLS 1.3 (ปิดใช้งานโดยค่าเริ่มต้น)
  • เพิ่มการตั้งค่าใหม่ (max_auth_rounds, max_auth_rounds_short) เพื่อเปลี่ยนขีดจำกัดของจำนวนข้อความ EAP ในระหว่างกระบวนการตรวจสอบสิทธิ์ (อาจจำเป็นต้องเปลี่ยนแปลงขีดจำกัดเมื่อใช้ใบรับรองที่มีขนาดใหญ่มาก)
  • เพิ่มการรองรับกลไก PASN (Pre Association Security Negotiation) เพื่อสร้างการเชื่อมต่อที่ปลอดภัย และป้องกันการแลกเปลี่ยนเฟรมควบคุมในขั้นตอนการเชื่อมต่อก่อนหน้า
  • มีการนำกลไกการปิดใช้การเปลี่ยนไปใช้ ซึ่งช่วยให้คุณสามารถปิดใช้งานโหมดโรมมิ่งโดยอัตโนมัติ ซึ่งช่วยให้คุณสามารถสลับระหว่างจุดเชื่อมต่อในขณะที่คุณเคลื่อนที่ เพื่อเพิ่มความปลอดภัย
  • การสนับสนุนโปรโตคอล WEP ไม่รวมอยู่ในบิลด์เริ่มต้น (จำเป็นต้องสร้างใหม่ด้วยตัวเลือก CONFIG_WEP=y เพื่อส่งคืนการสนับสนุน WEP) ลบฟังก์ชันการทำงานแบบเดิมที่เกี่ยวข้องกับ Inter-Access Point Protocol (IAPP) การสนับสนุน libnl 1.1 ถูกยกเลิกแล้ว เพิ่มตัวเลือกบิลด์ CONFIG_NO_TKIP=y สำหรับบิลด์ที่ไม่รองรับ TKIP
  • แก้ไขช่องโหว่ในการใช้งาน UPnP (CVE-2020-12695) ในตัวจัดการ P2P/Wi-Fi Direct (CVE-2021-27803) และกลไกการป้องกัน PMF (CVE-2019-16275)
  • การเปลี่ยนแปลงเฉพาะของ Hostapd รวมถึงการขยายการสนับสนุนสำหรับเครือข่ายไร้สาย HEW (High-Efficiency Wireless, IEEE 802.11ax) รวมถึงความสามารถในการใช้ช่วงความถี่ 6 GHz
  • การเปลี่ยนแปลงเฉพาะของ wpa_supplicant:
    • เพิ่มการรองรับการตั้งค่าโหมดจุดเข้าใช้งานสำหรับ SAE (WPA3-Personal)
    • มีการรองรับโหมด P802.11P สำหรับช่อง EDMG (IEEE 2ay)
    • ปรับปรุงการทำนายปริมาณงานและการเลือก BSS
    • อินเทอร์เฟซการควบคุมผ่าน D-Bus ได้รับการขยาย
    • มีการเพิ่มแบ็กเอนด์ใหม่สำหรับจัดเก็บรหัสผ่านในไฟล์แยกต่างหาก ทำให้คุณสามารถลบข้อมูลที่ละเอียดอ่อนออกจากไฟล์การกำหนดค่าหลักได้
    • เพิ่มนโยบายใหม่สำหรับ SCS, MSCS และ DSCP

ที่มา: opennet.ru

เพิ่มความคิดเห็น