Bir buçuk yıllık geliştirme sürecinin ardından, IEEE 2.10X, WPA, WPA802.1, WPA2 ve EAP kablosuz protokollerini destekleyen ve kablosuz bir ağa bağlanmak için wpa_supplicant uygulamasından oluşan hostapd/wpa_supplicant 3 sürümü hazırlandı. WPA Kimlik Doğrulayıcı, RADIUS kimlik doğrulama istemcisi/sunucusu, EAP sunucusu gibi bileşenleri içeren, erişim noktasının ve kimlik doğrulama sunucusunun çalışmasını sağlamak için istemci ve hostapd arka plan işlemi olarak. Projenin kaynak kodu BSD lisansı altında dağıtılmaktadır.
Yeni sürüm, işlevsel değişikliklere ek olarak, SAE (Eşitlerin Eşzamanlı Kimlik Doğrulaması) bağlantı anlaşma yöntemini ve EAP-pwd protokolünü etkileyen yeni bir yan kanal saldırı vektörünü de engeller. Kablosuz ağa bağlanan bir kullanıcının sisteminde ayrıcalıksız kod yürütme yeteneğine sahip bir saldırgan, sistemdeki etkinliği izleyerek şifre özellikleri hakkında bilgi edinebilir ve bunları çevrimdışı modda şifre tahminini kolaylaştırmak için kullanabilir. Sorun, şifrenin özellikleri hakkında üçüncü taraf kanallar aracılığıyla bilgi sızıntısından kaynaklanmaktadır; bu, işlemler sırasındaki gecikmelerdeki değişiklikler gibi dolaylı verilere dayanarak, şifrenin bölümlerinin seçiminin doğruluğunu açıklığa kavuşturmaya olanak tanır. onu seçme süreci.
2019'da düzeltilen benzer sorunlardan farklı olarak, yeni güvenlik açığı, crypto_ec_point_solve_y_coord() işlevinde kullanılan harici şifreleme temellerinin, işlenen verilerin niteliğinden bağımsız olarak sabit bir yürütme süresi sağlamamasından kaynaklanıyor. İşlemci önbelleğinin davranışının analizine dayanarak, aynı işlemci çekirdeğinde ayrıcalıksız kod çalıştırma yeteneğine sahip bir saldırgan, SAE/EAP-pwd'deki parola işlemlerinin ilerleyişi hakkında bilgi edinebilir. Sorun, SAE (CONFIG_SAE=y) ve EAP-pwd (CONFIG_EAP_PWD=y) desteğiyle derlenen wpa_supplicant ve hostapd'nin tüm sürümlerini etkiliyor.
Hostapd ve wpa_supplicant'ın yeni sürümlerindeki diğer değişiklikler:
- OpenSSL 3.0 şifreleme kitaplığıyla oluşturma yeteneği eklendi.
- WPA3 spesifikasyon güncellemesinde önerilen Beacon Koruma mekanizması uygulandı ve Beacon çerçevelerindeki değişiklikleri manipüle eden kablosuz ağdaki aktif saldırılara karşı koruma sağlamak üzere tasarlandı.
- Ekran arayüzü olmayan cihazların basitleştirilmiş yapılandırması için WPA2 standardında kullanılan genel anahtar kimlik doğrulama yöntemini tanımlayan DPP 3 (Wi-Fi Cihaz Sağlama Protokolü) desteği eklendi. Kurulum, halihazırda kablosuz ağa bağlı olan daha gelişmiş başka bir cihaz kullanılarak gerçekleştirilir. Örneğin, ekranı olmayan bir IoT cihazının parametreleri, kasanın üzerine basılmış bir QR kodunun anlık görüntüsüne dayalı olarak bir akıllı telefondan ayarlanabilir;
- Genişletilmiş Anahtar Kimliği (IEEE 802.11-2016) desteği eklendi.
- SAE bağlantı anlaşması yönteminin uygulanmasına SAE-PK (SAE Genel Anahtarı) güvenlik mekanizması desteği eklendi. Onayın anında gönderilmesi için "sae_config_immediate=1" seçeneğiyle etkinleştirilen bir modun yanı sıra sae_pwe parametresi 1 veya 2'ye ayarlandığında etkinleştirilen bir karma-element mekanizması uygulanır.
- EAP-TLS uygulamasına TLS 1.3 desteği eklenmiştir (varsayılan olarak devre dışıdır).
- Kimlik doğrulama işlemi sırasında EAP iletilerinin sayısındaki sınırları değiştirmek için yeni ayarlar (max_auth_rounds, max_auth_rounds_short) eklendi (çok büyük sertifikalar kullanıldığında sınırlarda değişiklik yapılması gerekebilir).
- Güvenli bir bağlantı kurmak ve daha önceki bir bağlantı aşamasında kontrol çerçevelerinin değişimini korumak için PASN (İlişki Öncesi Güvenlik Anlaşması) mekanizmasına yönelik destek eklendi.
- Güvenliği artırmak için hareket ettikçe erişim noktaları arasında geçiş yapmanızı sağlayan dolaşım modunu otomatik olarak devre dışı bırakmanıza olanak tanıyan Geçişi Devre Dışı Bırakma mekanizması uygulanmıştır.
- WEP protokolü desteği, varsayılan yapıların dışındadır (WEP desteğini döndürmek için CONFIG_WEP=y seçeneğiyle yeniden oluşturma gerekir). Erişim Noktaları Arası Protokol (IAPP) ile ilgili eski işlevsellik kaldırıldı. Libnl 1.1 desteği durduruldu. TKIP desteği olmayan derlemeler için CONFIG_NO_TKIP=y derleme seçeneği eklendi.
- UPnP uygulamasındaki (CVE-2020-12695), P2P/Wi-Fi Direct işleyicisindeki (CVE-2021-27803) ve PMF koruma mekanizmasındaki (CVE-2019-16275) güvenlik açıkları düzeltildi.
- Hostapd'a özgü değişiklikler, 802.11 GHz frekans aralığını kullanma yeteneği de dahil olmak üzere HEW (Yüksek Verimli Kablosuz, IEEE 6ax) kablosuz ağları için genişletilmiş desteği içerir.
- Wpa_supplicant'a özel değişiklikler:
- SAE (WPA3-Kişisel) için erişim noktası modu ayarlarına yönelik destek eklendi.
- EDMG kanalları (IEEE 802.11ay) için P2P modu desteği uygulanır.
- Geliştirilmiş verim tahmini ve BSS seçimi.
- D-Bus aracılığıyla kontrol arayüzü genişletildi.
- Parolaları ayrı bir dosyada saklamak için yeni bir arka uç eklendi ve bu sayede hassas bilgileri ana yapılandırma dosyasından kaldırabilirsiniz.
- SCS, MSCS ve DSCP için yeni politikalar eklendi.
Kaynak: opennet.ru