ProHoster > Blog > balita sa internet > Paglabas ng hostapd at wpa_supplicant 2.10

Paglabas ng hostapd at wpa_supplicant 2.10

Pagkatapos ng isang taon at kalahati ng pag-unlad, ang pagpapalabas ng hostapd/wpa_supplicant 2.10 ay inihanda, isang set para sa pagsuporta sa mga wireless na protocol na IEEE 802.1X, WPA, WPA2, WPA3 at EAP, na binubuo ng wpa_supplicant application upang kumonekta sa isang wireless network bilang isang kliyente at proseso sa background ng hostapd upang magbigay ng operasyon ng access point at isang server ng pagpapatunay, kabilang ang mga bahagi tulad ng WPA Authenticator, RADIUS authentication client/server, EAP server. Ang source code ng proyekto ay ipinamahagi sa ilalim ng lisensya ng BSD.

Bilang karagdagan sa mga functional na pagbabago, hinaharangan ng bagong bersyon ang isang bagong side-channel attack vector na nakakaapekto sa SAE (Simultaneous Authentication of Equals) na paraan ng negosasyon sa koneksyon at sa EAP-pwd protocol. Ang isang attacker na may kakayahang mag-execute ng unprivileged code sa system ng isang user na kumokonekta sa isang wireless network ay maaaring, sa pamamagitan ng pagsubaybay sa aktibidad sa system, makakuha ng impormasyon tungkol sa mga katangian ng password at gamitin ang mga ito upang pasimplehin ang paghula ng password sa offline mode. Ang problema ay sanhi ng pagtagas sa pamamagitan ng mga third-party na channel ng impormasyon tungkol sa mga katangian ng password, na nagpapahintulot, batay sa hindi direktang data, tulad ng mga pagbabago sa mga pagkaantala sa panahon ng mga operasyon, upang linawin ang kawastuhan ng pagpili ng mga bahagi ng password sa ang proseso ng pagpili nito.

Hindi tulad ng mga katulad na isyu na naayos noong 2019, ang bagong kahinaan ay sanhi ng katotohanan na ang mga panlabas na cryptographic primitive na ginamit sa crypto_ec_point_solve_y_coord() function ay hindi nagbigay ng patuloy na oras ng pagpapatupad, anuman ang uri ng data na pinoproseso. Batay sa pagsusuri ng pag-uugali ng cache ng processor, ang isang attacker na may kakayahang magpatakbo ng unprivileged code sa parehong core ng processor ay maaaring makakuha ng impormasyon tungkol sa pag-usad ng mga pagpapatakbo ng password sa SAE/EAP-pwd. Ang problema ay nakakaapekto sa lahat ng mga bersyon ng wpa_supplicant at hostapd na pinagsama-sama sa suporta para sa SAE (CONFIG_SAE=y) at EAP-pwd (CONFIG_EAP_PWD=y).

Iba pang mga pagbabago sa mga bagong release ng hostapd at wpa_supplicant:

  • Nagdagdag ng kakayahang bumuo gamit ang OpenSSL 3.0 cryptographic library.
  • Ang mekanismo ng Beacon Protection na iminungkahi sa pag-update ng detalye ng WPA3 ay ipinatupad, na idinisenyo upang maprotektahan laban sa mga aktibong pag-atake sa wireless network na nagmamanipula ng mga pagbabago sa mga frame ng Beacon.
  • Nagdagdag ng suporta para sa DPP 2 (Wi-Fi Device Provisioning Protocol), na tumutukoy sa paraan ng pagpapatunay ng pampublikong key na ginagamit sa pamantayan ng WPA3 para sa pinasimpleng configuration ng mga device na walang on-screen na interface. Isinasagawa ang pag-setup gamit ang isa pang mas advanced na device na nakakonekta na sa wireless network. Halimbawa, ang mga parameter para sa isang IoT device na walang screen ay maaaring itakda mula sa isang smartphone batay sa isang snapshot ng isang QR code na naka-print sa case;
  • Nagdagdag ng suporta para sa Extended Key ID (IEEE 802.11-2016).
  • Ang suporta para sa mekanismo ng seguridad ng SAE-PK (SAE Public Key) ay idinagdag sa pagpapatupad ng pamamaraan ng negosasyon sa koneksyon ng SAE. Ipinapatupad ang isang mode para sa agarang pagpapadala ng kumpirmasyon, na pinagana ng opsyong β€œsae_config_immediate=1”, pati na rin ang mekanismo ng hash-to-element, na pinagana kapag ang parameter na sae_pwe ay nakatakda sa 1 o 2.
  • Ang pagpapatupad ng EAP-TLS ay nagdagdag ng suporta para sa TLS 1.3 (naka-disable bilang default).
  • Nagdagdag ng mga bagong setting (max_auth_rounds, max_auth_rounds_short) upang baguhin ang mga limitasyon sa bilang ng mga mensahe ng EAP sa panahon ng proseso ng pagpapatunay (maaaring kailanganin ang mga pagbabago sa mga limitasyon kapag gumagamit ng napakalaking certificate).
  • Nagdagdag ng suporta para sa mekanismo ng PASN (Pre Association Security Negotiation) para sa pagtatatag ng secure na koneksyon at pagprotekta sa pagpapalitan ng mga control frame sa mas maagang yugto ng koneksyon.
  • Naipatupad na ang mekanismo ng Transition Disable, na nagbibigay-daan sa iyong awtomatikong i-disable ang roaming mode, na nagpapahintulot sa iyong lumipat sa pagitan ng mga access point habang lumilipat ka, upang mapahusay ang seguridad.
  • Ang suporta para sa WEP protocol ay hindi kasama sa mga default na build (ang muling pagtatayo gamit ang CONFIG_WEP=y na opsyon ay kinakailangan upang maibalik ang suporta sa WEP). Inalis ang legacy na functionality na nauugnay sa Inter-Access Point Protocol (IAPP). Ang suporta para sa libnl 1.1 ay hindi na ipinagpatuloy. Nagdagdag ng opsyon sa build CONFIG_NO_TKIP=y para sa mga build na walang suporta sa TKIP.
  • Inayos ang mga kahinaan sa pagpapatupad ng UPnP (CVE-2020-12695), sa P2P/Wi-Fi Direct handler (CVE-2021-27803) at sa mekanismo ng proteksyon ng PMF (CVE-2019-16275).
  • Kasama sa mga pagbabagong partikular sa Hostapd ang pinalawak na suporta para sa HEW (High-Efficiency Wireless, IEEE 802.11ax) wireless network, kabilang ang kakayahang gamitin ang 6 GHz frequency range.
  • Mga partikular na pagbabago sa wpa_supplicant:
    • Nagdagdag ng suporta para sa mga setting ng access point mode para sa SAE (WPA3-Personal).
    • Ang suporta sa P802.11P mode ay ipinatupad para sa mga EDMG channel (IEEE 2ay).
    • Pinahusay na throughput prediction at pagpili ng BSS.
    • Ang control interface sa pamamagitan ng D-Bus ay pinalawak.
    • Ang isang bagong backend ay idinagdag para sa pag-iimbak ng mga password sa isang hiwalay na file, na nagbibigay-daan sa iyong alisin ang sensitibong impormasyon mula sa pangunahing configuration file.
    • Nagdagdag ng mga bagong patakaran para sa SCS, MSCS at DSCP.

Pinagmulan: opennet.ru

Magdagdag ng komento