The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск hostapd и wpa_supplicant 2.10

18.01.2022 10:45

После полутора лет разработки подготовлен выпуск hostapd/wpa_supplicant 2.10, набора для обеспечения работы беспроводных протоколов IEEE 802.1X, WPA, WPA2, WPA3 и EAP, состоящего из приложения wpa_supplicant для подключения к беспроводной сети в роли клиента и фонового процесса hostapd для обеспечения работы точки доступа и сервера аутентификации, включающего такие компоненты как WPA Authenticator, клиент/сервер аутентификации RADIUS, сервер EAP. Исходные тексты проекта распространяются под лицензией BSD.

Кроме функциональных изменений в новой версии блокирован новый вектор атаки по сторонним каналам, затрагивающий метод согласования соединений SAE (Simultaneous Authentication of Equals) и протокол EAP-pwd. Злоумышленник, имеющий возможность выполнения непривилегированного кода на системе пользователя, подключающегося к беспроводной сети, может через отслеживания активности в системе получить сведения о характеристиках пароля и использовать их для упрощения подбора пароля в offline-режиме. Проблема вызвана утечкой по сторонним каналам информации о характеристиках пароля, которые позволяют по косвенным данным, таким как изменение задержек при выполнении операций, уточнить правильность выбора частей пароля в процессе его подбора.

В отличие от похожих проблем, устранённых в 2019 году, новая уязвимость вызвана тем, что внешние криптографические примитивы, используемые в функции crypto_ec_point_solve_y_coord(), не обеспечивали постоянное время выполнения операций, не зависящее от характера обрабатываемых данных. На основе анализа поведения процессорного кэша атакующий, имеющий возможность запуска непривилегированного кода на том же ядре процессора, мог получить информацию о ходе выполнения операций с паролем в SAE/EAP-pwd. Проблеме подвержены все версии wpa_supplicant и hostapd, собранные с поддержкой SAE (CONFIG_SAE=y) и EAP-pwd (CONFIG_EAP_PWD=y).

Другие изменения в новых выпусках hostapd и wpa_supplicant:

  • Добавлена возможность сборки с криптографической библиотекой OpenSSL 3.0.
  • Реализован предложенный в обновлении спецификации WPA3 механизм Beacon Protection, предназначенный для защиты от активных атак на беспроводную сеть, манипулирующих изменением кадров Beacon.
  • Добавлена поддержка протокола DPP 2 (Wi-Fi Device Provisioning Protocol), определяющего метод аутентификации по открытым ключам, задействованный в стандарте WPA3 для организации упрощённой настройки устройств без экранного интерфейса. Настройка осуществляется с использованием другого более продвинутого устройства, уже подключенного к беспроводной сети. Например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе;
  • Добавлена поддержка расширенных идентификаторов ключей (Extended Key ID, IEEE 802.11-2016).
  • В реализацию метода согласования соединений SAE добавлена поддержка механизма защиты SAE-PK (SAE Public Key). Реализован режим мгновенной отправки подтверждения, включаемый опцией "sae_config_immediate=1", а также механизм hash-to-element, включаемый при выставлении параметра sae_pwe в значения 1 или 2.
  • В реализацию EAP-TLS добавлена поддержка TLS 1.3 (отключена по умолчанию).
  • Добавлены новые настройки (max_auth_rounds, max_auth_rounds_short) для изменения лимитов на число EAP-сообщений в процессе аутентификации (изменение лимитов может потребоваться при использовании очень больших сертификатов).
  • Добавлена поддержка механизма PASN (Pre Association Security Negotiation) для установки защищённого соединения и защиты обмена управляющими кадрами на ранней стадии подключения.
  • Реализован механизм Transition Disable, позволяющий для усиления безопасности автоматически отключать режим роуминга, допускающий переключение между точками доступа по мере перемещения.
  • Из сборок по умолчанию исключена поддержка протокола WEP (для возвращения поддержки WEP требуется пересборка с опцией CONFIG_WEP=y). Удалена устаревшая функциональность, связанная с протоколом IAPP (Inter-Access Point Protocol). Прекращена поддержка libnl 1.1. Добавлена сборочная опция CONFIG_NO_TKIP=y для сборки без поддержи TKIP.
  • Устранены уязвимости в реализации UPnP (CVE-2020-12695), в обработчике P2P/Wi-Fi Direct (CVE-2021-27803) и механизме защиты PMF (CVE-2019-16275).
  • Из специфичных для hostapd изменений можно отметить расширение поддержки беспроводных сетей HEW (High-Efficiency Wireless, IEEE 802.11ax), включая возможность использования частотного диапазона 6 GHz.
  • Изменения, специфичные для wpa_supplicant:
    • Добавлена поддержка настроек режима точки доступа для SAE (WPA3-Personal).
    • Для каналов EDMG (IEEE 802.11ay) реализована поддержка режима P2P.
    • Улучшено прогнозирование пропускной способности и выбор BSS.
    • Расширен интерфейс управления через D-Bus.
    • Добавлен новый бэкенд для хранения паролей в отдельном файле, позволяющий вынести конфиденциальную информацию из основного файла конфигурации.
    • Добавлены новые политики для SCS, MSCS и DSCP.


  1. Главная ссылка к новости (http://lists.infradead.org/pip...)
  2. OpenNews: Уязвимость в wpa_supplicant, не исключающая удалённое выполнение кода
  3. OpenNews: Критическая уязвимость в wpa_supplicant, компоненте для подключения к беспроводным сетям
  4. OpenNews: Новая техника атаки на беспроводные сети с WPA2
  5. OpenNews: Уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd
  6. OpenNews: Новые уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56528-wpa_supplicant
Ключевые слова: wpa_supplicant, wifi, hostapd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (52) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, YetAnotherOnanym (ok), 11:45, 18/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Богатенько нового.
     
  • 1.4, Anonwrg5 (?), 11:49, 18/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    WEP, наверное, можно было бы выпилить совсем. Это не защита, а иллюзия оной, т.к. брутфорсится за пару часов даже на проце 12-летней давности.
     
     
  • 2.11, Аноним (-), 12:29, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Если учитывать то, что по законодательству за open-сети можно сесть, а за wep - нет, это способ не сесть, давая доступ другим.
     
     
  • 3.22, Шериф (?), 13:47, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Проблемы индейцев.
     
     
  • 4.25, Индейцы (?), 14:31, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Г-н шериф, мы прекрасно понимаем по чьей подсказке ни с одного модного дистрибутива теперь нельзя будет подключаться к wep. Но у вас ус отклеивается.

     
  • 3.30, Смузихлёб (?), 16:10, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    WEP отсеет 99.9% соседей, учитывая что это в большинстве своём школьники с отмёршим мозгом умеющим только свайпать тик-ток и домохозяйки.
     
     
  • 4.35, Пользователь WEP (?), 19:50, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Можно на заборе вместо слова из трёх букв писать пароль. Если бы не HTTPS, можно было бы тикток мапить на iichan.hk.
     
     
  • 5.36, Пользователь WEP (?), 19:51, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >не HTTPS

    И не приложение, да.

     
  • 3.32, Аноним (32), 17:13, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По законодательству сесть можно за что угодно и по желанию левой пятки Если теб... большой текст свёрнут, показать
     
     
  • 4.37, Аноним (-), 19:53, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >По законодательству сесть можно за что угодно и по желанию левой пятки.

    Пруфируй. Как можно натянуть то, от чего нет пруфов и создать нельзя? Пока в стране есть хоть какая-либо система права, такое натянуть трудно.
    Зато можно натянуть то, что легче всего натягивается, но это уже другое дело и ты до этого не дошёл.

     
     
  • 5.41, Аноним (32), 20:31, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Система права сильного есть в любом государстве, и даже в Сомали и Ливии Просто... большой текст свёрнут, показать
     
     
  • 6.42, Аноним (-), 21:05, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так можно вайлдкард и обойти Между отказом по праву обычному и применением прав... большой текст свёрнут, показать
     
     
  • 7.46, Аноним (32), 12:04, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Так можно вайлдкард и обойти.

    Нельзя. Вайлдкард - он на то и вайлдкард.

    >Между отказом по праву обычному и применением права сильного обычно проходит достаточно времени, чтобы собрать рюкзак и уехать за пределы досягаемости шаловливых ручек

    В не менее, а то и более, шаловливые ручки.

    >если цель - смена гражданства

    Воистину, достойная цель в жизни - переотдаться другому барину, оплатив при этом пожилое обоим.

     
  • 5.52, Аноним (52), 09:47, 20/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Пока в стране есть хоть какая-либо система права, такое натянуть трудно.

    Ты про США?

     
  • 3.33, Аноним (33), 19:07, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо FUD'а, ничего за open сети не будет.
     
  • 2.31, Смузихлёб (?), 16:13, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какие пару часов??? На коре2дуба за пару секунд. Другое дело, что:

    а) Таки сети в принципе реже встречаются чем открытые;
    б) Много ли тех, кто захочет заморачиваться со взломом, когда в каждом телефоне безлимитный интернет есть?

     
  • 2.55, Аноним (-), 05:02, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > WEP, наверное, можно было бы выпилить совсем.

    Очень круто когда не удастся подключиться к чему-то нужному.

     

  • 1.5, timur.davletshin (ok), 12:00, 18/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ждём в OpenWRT.
     
     
  • 2.17, Аноним (17), 12:54, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    nightly/trunk к вашим услугам.
     

  • 1.6, Аноним (6), 12:16, 18/01/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (6)

  • 1.9, Аноним (-), 12:25, 18/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда в репах ждать?
     
     
  • 2.13, Аноним (13), 12:43, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Ждать можно уже прямо сейчас.
     
     
  • 3.16, Аноним (14), 12:52, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А .ebuild можно от предыдущей версии взять и самому переправить. Не обязательно ждать.
     
     
  • 4.19, Аноним (13), 12:56, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Можно, если свободного времени некуда девать.
     
  • 2.34, Аноним (33), 19:09, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да во всех нормальных уже обновили

    https://repology.org/project/wpa-supplicant/history

     

  • 1.15, Аноним (15), 12:52, 18/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Это всё хорошо, но в реальности выливается в "Какой wifi адаптер посоветуете для Linux?" "Бери вот на этом чипе. Для него есть прошивка от Олега и Васи, но они не стабильны. Соединение есть, но пакеты не идут, но в целом работает. Только перезагружать нужно каждый час."
     
     
  • 2.18, Аноним (14), 12:55, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На чипсетах от Qualcomm, они самые поддерживаемые в Linux.
     
  • 2.23, макпыф (ok), 13:58, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    wpa_supplicant к прошивкам адаптеров не относится
     
  • 2.26, rshadow (ok), 14:41, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда то давно у самого пригорало от этого. Но свистки уже давно не покупал. А все что внутри ноутов работает без проблем. Наверно везде один и тот же чип пихают.
     
  • 2.38, Аноним (38), 19:56, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Это всё хорошо, но в реальности выливается в "Какой wifi адаптер посоветуете для Linux?"

    Ты забыл главную часть этого вопроса: monitor mode и допустимые комбинации интерфейсов (managed + monitor и каналы). И стабильность работы с aircrack. А такого на этикетке не пишут.

     
     
  • 3.45, paulf (?), 23:53, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    monitor поддерживается для всех mac80211-драйверов автоматически. Допустимые комбинации видно в iw list. Если на этикетке не видно hw revision, то вообще ничего про устройство сказать нельзя, с одним названием могут быть совершенно разные внутренности.
     
     
  • 4.48, Аноним (-), 19:50, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >monitor поддерживается для всех mac80211-драйверов автоматически

    Дело в том, как он поддерживается и кем.

    >Допустимые комбинации видно в iw list.

    Ты же не будешь в магазине требовать пробить каждый адаптер? Мне такое стеснительность не позволяют.

    >Если на этикетке не видно hw revision

    Чаще всего оно так и есть.

     
     
  • 5.51, paulf (?), 20:22, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >>Допустимые комбинации видно в iw list.
    > Ты же не будешь в магазине требовать пробить каждый адаптер? Мне такое
    > стеснительность не позволяют.

    Надо работать над собой. Твоё законное право знать точно, что покупаешь. Обычно всё-таки если упаковку со всех сторон посмотреть, можно узнать hw revision, сразу по wikidevi проверить.

     
     
  • 6.53, Аноним (-), 18:44, 21/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А по hw revision мне Господь Бог по iw пробьёт? Сперва ищи настоящее название под шильдиком, потм по названию пытаться найти комбинации...
     
  • 2.44, paulf (?), 23:46, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    По USB вот подробные обоснованные советы: https://github.com/morrownr/USB-WiFi . По PCIe у asiarf есть карты на основе mt7915 (802.11ax) и mt761[25] (802.11ac).
     
     
  • 3.49, Аноним (-), 19:51, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Негусто.
     
     
  • 4.50, paulf (?), 20:12, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Негусто.

    Негусто чего, pcie карт? Есть ещё ath10k от QCA разные. А вообще логичнее, дешевле и надёжнее брать отдельные железки под wifi, и использовать их как AP. Вот, например, totolink x5000r даёт 802.11ax 2x2 (mt7915d) на обоих диапазонах одновременно, дёшево, что ещё надо? Хочется 4x4 -- есть варианты с mt7915e. Хочется более профессионального -- так пожалуйста,
    https://openwrt.org/toh/ubiquiti/unifi_6_lr , отличная точка доступа с PoE, причём 2.5GBASE-T по факту работает.

     
     
  • 5.54, Аноним (-), 18:59, 21/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    usb-свистков негусто, особенно тех, что в округе продаются.
    >Вот, например, totolink

    Я что, роутер на вардрайвинг с собой потащу?

     
     
  • 6.56, Аноним (-), 06:02, 27/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ай-яй-яй, анон, палишься. Но роутеры так то и карманные бывают.
     

  • 1.24, Аноним (24), 14:19, 18/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Где ты видел _прошивки_ для адаптеров от Васи?
    Их вендора пилят а потом все мержат в ядро или ставят отдельным блобом. При
    чем тут совет адаптера!? С этой подcистемой все будут работать.
     
     
  • 2.39, Аноним (38), 19:57, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Где ты видел _прошивки_ для адаптеров от Васи?

    ЧСХ, такие вроде как были. Под BT точно вместе с open hw, ubertooth называется.

     

  • 1.27, Аноним (27), 15:25, 18/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вообще удивительная ситуация : dot1.x работатет на рабочих станциях и поддерждивается на свичах, но нормального опенсорс аксес котроллера не существует в природе. Все делают костыли на фрирадиусе либо используют что-то типа opennac или freeipa который размером с надгробную плиту . Нет не единой удобной легковесной системы для этой задачи.
     
  • 1.28, Аноним (28), 16:01, 18/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Интеловский IWD круче и стабильнее чем это васяновское поделие
     
     
  • 2.40, Аноним (38), 19:59, 18/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А как по мне - косячнее.
    И проще зацепить парочку wpa_supplicant, чем настроить под iwd moltihoming.
     

  • 1.43, Аноним (-), 21:07, 18/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вечер в хату. Чё там по 802.11s?
     
  • 1.47, Аноним (47), 18:47, 19/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как включить "Transition Disable"? Есть необходимость отключить 802.11r на клиенте, как я понял это оно?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру