Wyobraź sobie  że jest już połatanie. Tak samo jak martwe od dawna CC. Czeka tylko na zbudowanie. Ale - nic ci po tym jak używasz gargoyle jako AP.

Bo to jest atak na klienta a nie na ap . Dziś pojawiło się dużo opisów tego, przeczytaj np. na sekuraku: https://sekurak.pl/krack-nowy-atak-potr … azde-wifi/

Jak będziemy mieli działający program to się dowiemy na co działa

Hasła do fejsa nie podejrzą. Zagrożone są jedynie serwisy, gdzie admini nie potrafią zaimplementować (poprawnie) HTTPS. Większość tych topowych stron i tak jedzie od dawna na HSTS (nawet mój mały morfitronik tam figuruje od dawna) i odarcie z HTTPS im nie grozi i w zasadzie to chyba tylko lokalny ruch jest zagrożony podsłuchem, bo w LAN nikt (poza mną) nie używa HTTPS.

W zasadzie to ten cały atak nie jest czarno biały i chyba każdego dotyczy w nieco innym stopniu i pewnie stąd taka rozbieżność w opiniach.   Np. ten MITM to też może zostać przeprowadzony tylko przy specyficznej konfiguracji routera i jak ktoś używa tylko WPA2-PSK-CCMP zamiast [WPA2-PSK-CCMP+TKIP] (domyślnie), to nawet mając niezałatany router i klienta już miejsca cały ten MITM odpada. A bez niego to pozostaje jedynie podsłuch a biorąc pod uwagę, np. same certy z letsencrypt, które ostatnimi czasy umożliwiły implementowanie HTTPS praktycznie wszędzie i to za free, to napastnikowi zostanie jedynie analiza ruchu HTTP, o który obecnie trudno nawet na stronach porno. Nawet można by zainstalować jakieś dodatki pokroju httpseverywhere do przeglądarki, by mieć pewność, że "ulubione" dodane xx lat wstecz mają https a nie http. Hasła do wifi też nikt nie złamie, bo ten cały KRACK to w ogóle inna bajka, książka i gatunek literacki. A poza tym i tak już zdążyli wszystko połatać więc przeżyliśmy kolejny koniec świata wbrew tym wszystkim opiniom szeroko rozumianej "prasy internetowej", bo to co ludzie wypisują, to normalnie głowa mała. By być szczerym to spodziewałem się czegoś więcej po tym ataku, a wyszło jak zawsze, prawie jak zapowiadany nowy odcinek Game Of Thrones.

Nie tylko teorią, bo przecież demonstracja ataku była. Ja oczywiście się połatałem od razu jak tylko poprawki były dostępne ale ludzie naprawdę przesadzają, np. mówiąc by wyłączyć "wifi w smartfonie póki łaty na niego będą dostępne i używać tylko danych pakietowych". No chyba wszyscy wiemy, że większość androidów raczej żadnej łaty nie dostanie, a można przecie mieć włączone wifi i jechać na https w przeglądarce (bo te usługi gógle, na których andek się opiera, mają już zaszyfrowaną komunikację standardowo). No i ja zbytnio nie widzę jakiegoś problemu (używając oczywiście WPA2-PSK-CCMP), by to wifi mieć włączone w telefonie. Na niebezpieczniku porównali obecny stan WiFi domowej do publicznej i skoro ludzie łączą się bez obaw do publicznych darmowych hotspotów (ja akurat nie korzystam), to nie powinni mieć oporów przy korzystaniu ze swojego "dziurawego" teraz WiFi.

Podobnie jest w przypadku WPS, też panika, a ja używam, z tym, że PBC.

W trybie klienta też poprawia. Własnie do tego była poprawka.

Nie wiem czemu ale wydaje mi się że szukasz dziury w całym. Stare wersje były podatne, nowsze mają już łatki nie są. W czym problem?

Badacze sprawdzili takie wersje: https://papers.mathyvanhoef.com/ccs2017.pdf (rozdział 3.2) i określili na co są podatne. Nie wiem czy są dostępne testy jakichkolwiek innych wersji.

Zbudowałem  sobie nowy obraz  LEDE Reboot SNAPSHOT r5218-f90f94d   dla ZyXEL P-2812HNU-F3    ale   sprawdziłem  pakiet  wpad-mini    i   pokazuje

Package: wpad-mini
Version: 2017-08-24-c2d4f2eb-4
Depends: libc, libnl-tiny, hostapd-common, libubus
Status: install user installed
Section: net
Architecture: mips_24kc
Size: 253991
Filename: wpad-mini_2017-08-24-c2d4f2eb-4_mips_24kc.ipk
Description: This package contains a minimal IEEE 802.1x/WPA Authenticator and Supplicant (WPA-PSK only).
Installed-Time: 1509570494

   
i teraz  nie wiem  czy  on już  zawiera  wymagane poprawki   ( powinno byc  5  lub  6 ) 
w katalogu  ze źródłami  mam

adam@Z51 ~/lede/package/network/services/hostapd $ ls -R
.:
Config.in  files  Makefile  patches  src

./files:
hostapd-full.config  hostapd-mini.config  hostapd.sh  multicall.c  wpa_supplicant-full.config  wpa_supplicant-mini.config  wpa_supplicant-p2p.config  wps-hotplug.sh

./patches:
000-hostapd-Avoid-key-reinstallation-in-FT-handshake.patch      100-daemonize_fix.patch                     390-wpa_ie_cap_workaround.patch
001-Prevent-reinstallation-of-an-already-in-use-group-ke.patch  110-no_eapol_fix.patch                      400-wps_single_auth_enc_type.patch
002-Extend-protection-of-GTK-IGTK-reinstallation-of-WNM-.patch  120-disable_bridge_packet_workaround.patch  410-limit_debug_messages.patch
003-Prevent-installation-of-an-all-zero-TK.patch                200-multicall.patch                         420-indicate-features.patch
004-Fix-PTK-rekeying-to-generate-a-new-ANonce.patch             300-noscan.patch                            430-hostapd_cli_ifdef.patch
005-TDLS-Reject-TPK-TK-reconfiguration.patch                    310-rescan_immediately.patch                431-wpa_cli_ifdef.patch
006-WNM-Ignore-WNM-Sleep-Mode-Response-without-pending-r.patch  320-optional_rfkill.patch                   432-missing-typedef.patch
007-FT-Do-not-allow-multiple-Reassociation-Response-fram.patch  330-nl80211_fix_set_freq.patch              450-scan_wait.patch
008-WPA-Extra-defense-against-PTK-reinstalls-in-4-way-ha.patch  340-reload_freq_change.patch                460-wpa_supplicant-add-new-config-params-to-be-used-with.patch
009-Clear-PMK-length-and-check-for-this-when-deriving-PT.patch  350-nl80211_del_beacon_bss.patch            461-driver_nl80211-use-new-parameters-during-ibss-join.patch
010-Optional-AP-side-workaround-for-key-reinstallation-a.patch  360-ctrl_iface_reload.patch                 462-wpa_s-support-htmode-param.patch
011-Additional-consistentcy-checks-for-PTK-component-len.patch  370-ap_sta_support.patch                    470-survey_data_fallback.patch
012-Clear-BSSID-information-in-supplicant-state-machine-.patch  380-disable_ctrl_iface_mib.patch            600-ubus_support.patch

./src:
src

./src/src:
ap  utils

./src/src/ap:
ubus.c  ubus.h

./src/src/utils:
build_features.h

tak  to  wiem   ale  widzisz  w  opisie   pakietu  pojawia sie 4   a  aktualizowałem inne routery  i  mam 5   ale  tam  obrazy od Ciebie   w dodatku w makefile  jest  data

PKG_NAME:=hostapd
PKG_RELEASE:=4

PKG_SOURCE_URL:=http://w1.fi/hostap.git
PKG_SOURCE_PROTO:=git
PKG_SOURCE_DATE:=2017-08-24
PKG_SOURCE_VERSION:=c2d4f2eb5dba0b5c5a8c5805823084da958a9b52
PKG_MIRROR_HASH:=c6ad9a73fc1ae0ba8bc48f71cf14394b274bc9c2c1d1b53c2775f08312597e74

 
i w sumie  nie byłem  pewny