Після півтора року розробки підготовлений випуск hostapd/wpa_supplicant 2.10, набору для забезпечення роботи бездротових протоколів IEEE 802.1X, WPA, WPA2, WPA3 та EAP, що складається з програми wpa_supplicant для підключення до бездротової мережі в ролі клієнта та фонового процесу hostapd та сервера автентифікації, що включає такі компоненти як WPA Authenticator, клієнт/сервер автентифікації RADIUS, сервер EAP. Вихідні тексти проекту розповсюджуються під ліцензією BSD.
Крім функціональних змін у новій версії блоковано новий вектор атаки по сторонніх каналах, що стосується методу узгодження з'єднань SAE (Simultaneous Authentication of Equals) і протокол EAP-pwd. Зловмисник, який має можливість виконання непривілейованого коду на системі користувача, що підключається до бездротової мережі, може через відстеження активності в системі отримати відомості про характеристики пароля та використовувати їх для спрощення підбору пароля в режимі offline. Проблема викликана витоком сторонніми каналами інформації про характеристики пароля, які дозволяють за непрямими даними, таким як зміна затримок при виконанні операцій, уточнити правильність вибору частин пароля в процесі його підбору.
На відміну від схожих проблем, усунених у 2019 році, нова вразливість викликана тим, що зовнішні криптографічні примітиви, що використовуються у функції crypto_ec_point_solve_y_coord(), не забезпечували постійний час виконання операцій, що не залежить від характеру даних, що обробляються. На основі аналізу поведінки процесорного кеша атакуючий, що має можливість запуску непривілейованого коду на тому ж ядрі процесора, міг отримати інформацію про хід виконання операцій з паролем SAE/EAP-pwd. Проблемі піддаються всі версії wpa_supplicant і hostapd, зібрані за допомогою SAE (CONFIG_SAE=y) та EAP-pwd (CONFIG_EAP_PWD=y).
Інші зміни в нових випусках hostapd та wpa_supplicant:
- Додана можливість збирання з криптографічною бібліотекою OpenSSL 3.0.
- Реалізовано запропонований в оновленні специфікації WPA3 механізм Beacon Protection, призначений для захисту від активних атак на бездротову мережу, що маніпулює зміною кадрів Beacon.
- Додано підтримку протоколу DPP 2 (Wi-Fi Device Provisioning Protocol), що визначає метод аутентифікації за відкритими ключами, задіяний у стандарті WPA3 для організації спрощеного настроювання пристроїв без екранного інтерфейсу. Налаштування здійснюється за допомогою іншого більш просунутого пристрою, вже підключеного до бездротової мережі. Наприклад, параметри для IoT-пристрою без екрана можна встановити зі смартфона на основі знімка QR-коду, надрукованого на корпусі;
- Додано підтримку розширених ідентифікаторів ключів (Extended Key ID, IEEE 802.11-2016).
- У реалізацію методу узгодження з'єднань SAE додано підтримку механізму захисту SAE-PK (SAE Public Key). Реалізовано режим миттєвої відправки підтвердження, що включається опцією sae_config_immediate=1, а також механізм hash-to-element, що включається при виставленні параметра sae_pwe значення 1 або 2.
- У реалізацію EAP-TLS додано підтримку TLS 1.3 (відключено за замовчуванням).
- Додано нові налаштування (max_auth_rounds, max_auth_rounds_short) для зміни лімітів на число EAP-повідомлень у процесі автентифікації (зміна лімітів може знадобитися при використанні дуже великих сертифікатів).
- Додано підтримку механізму PASN (Pre Association Security Negotiation) для встановлення захищеного з'єднання та захисту обміну керуючими кадрами на раніше стадії підключення.
- Реалізовано механізм Transition Disable, що дозволяє для посилення безпеки автоматично вимикати режим роумінгу, що допускає перемикання між точками доступу по мірі переміщення.
- За замовчуванням зі збірок виключена підтримка протоколу WEP (для повернення підтримки WEP потрібно перескладання з опцією CONFIG_WEP=y). Видалено застарілу функціональність, пов'язану з протоколом IAPP (Inter-Access Point Protocol). Припинено підтримку libnl 1.1. Додана збірна опція CONFIG_NO_TKIP=y для збирання без підтримки TKIP.
- Усунено вразливість у реалізації UPnP (CVE-2020-12695), в обробнику P2P/Wi-Fi Direct (CVE-2021-27803) та механізмі захисту PMF (CVE-2019-16275).
- Зі специфічних для hostapd змін можна відзначити розширення підтримки бездротових мереж HEW (High-Efficiency Wireless, IEEE 802.11ax), включаючи можливість використання частотного діапазону 6 GHz.
- Зміни, специфічні для wpa_supplicant:
- Додано підтримку параметрів режиму точки доступу для SAE (WPA3-Personal).
- Для каналів EDMG (IEEE 802.11ay) реалізовано підтримку режиму P2P.
- Поліпшено прогнозування пропускної спроможності та вибір BSS.
- Розширено інтерфейс керування через D-Bus.
- Додано новий бекенд для зберігання паролів в окремому файлі, що дозволяє винести конфіденційну інформацію з основного конфігураційного файлу.
- Додані нові політики для SCS, MSCS та DSCP.
Джерело: opennet.ru