gooddude
6 лет назадОбновление от KRACK
Спустя два года после предыдущей версии 2.6 выпущена версия wpa_supplicant 2.7, в которой устранены уязвимости к атаке KRACK: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088, а также уязвимость CVE-2018-14526, позволяющая получить ключ EAPOL в сетях, использующих WPA2 с TKIP.
Другие основные изменения, касающиеся безопасности:
- Добавлен ряд новых функций:
- аутентификация по общему ключу FILS (Fast Initial Link Setup, стандартизирован как IEEE 802.11ai),
- OWE (Opportunistic Wireless Encryption, RFC 8110, используется в WPA3),
- DPP (Wi-Fi Device Provisioning Protocol, используется в WPA3)
- В SAE теперь можно использовать отдельный от WPA2 пароль (требуется, чтобы и точка доступа это поддерживала)
- Добавлена поддержка OpenSSL 1.1.1 и wolfSSL
- Удален весь функционал PeerKey (был подвержен атаке KRACK)
- Различные улучшения доступных криптоалгоритмов: RSA 3072-бит с 192-битной криптографией NSA Suite B, SHA256 в OCSP, SHA384, BIP-CMAC-256, BIP-GMAC-128, BIP-GMAC-256 в FT (Fast Transition, IEEE 802.11r)
- Опция ap_isolate для изоляции клиентов в режиме точки доступа (AP mode)
Вместе выпушена версия 2.7 hostapd с неменьшим расширением функционала и устранением уязвимости к атаке KRACK. Более подробный перечень изменений: http://lists.infradead.org/pipermail/hostap/2018-December/039069.html
В репозитории Debian, например, обновки уже доступны в ветке experimental.