Преди малко беше обявено излизането на новата версия Tor 0.4.6.5 който счита се за първата стабилна версия на клон 0.4.6, който се е развил през последните пет месеца.
Клон 0.4.6 ще се поддържа като част от редовен цикъл на поддръжка; Актуализациите ще бъдат прекратени 9 месеца или 3 месеца след пускането на клона 0.4.7.x, в допълнение към продължаването на предоставянето на дълъг цикъл на поддръжка (LTS) за клона 0.3.5, чиито актуализации ще бъдат пуснати до 1 Февруари 2022.
В същото време бяха създадени версии на Tor 0.3.5.15, 0.4.4.9 и 0.4.5.9, които отстраниха уязвимости в DoS, които биха могли да причинят отказ от услуга на клиенти на Onion и Relay.
Основни нови функции на Tor 0.4.6.5
В тази нова версия добави възможността за създаване на "услуги за лук" въз основа на третата версия на протокола с удостоверяване на достъпа на клиент чрез файлове в директорията 'оторизирани клиенти'.
Освен това също беше предоставена възможността за предаване на информация за задръствания в допълнителни данни които могат да се използват за балансиране на натоварването в мрежата. Метричният трансфер се контролира от опцията OverloadStatistics в torrc.
Можем също така да открием, че е добавен флаг за релетата, който позволява на оператора на възела да разбере, че релето не е включено в консенсуса, когато сървърите избират директории (например, когато има твърде много релета в един IP адрес).
От друга страна се споменава, че поддръжката за по-стари услуги, базирани на лук, е премахната Във втората версия на протокола, която беше обявена за остаряла преди година. Пълното премахване на кода, свързан с втората версия на протокола, се очаква през есента. Втората версия на протокола е разработена преди около 16 години и поради използването на остарели алгоритми не може да се счита за безопасна при съвременни условия.
Преди две години и половина, във версия 0.3.2.9, третата версия на протокола беше предложена на потребителите, забележителна с прехода към 56-символни адреси, по-надеждна защита срещу изтичане на данни чрез сървъри на директории, разширяема модулна структура и използване на алгоритми SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024.
От уязвимостите са отстранени споменават се следните:
- CVE-2021-34550: достъп до област на паметта извън буфера, разпределен в кода за анализиране на дескриптори на услуга лук въз основа на третата версия на протокола. Нападателят може, като постави специално създаден дескриптор на услуга лук, да инициира блокиране на всеки клиент, който се опитва да осъществи достъп до тази услуга лук.
- CVE-2021-34549 - Възможност за извършване на атака, която причинява отказ от обслужване на релетата. Атакуващият може да формира низове с идентификатори, които причиняват сблъсъци в хеш функцията, чиято обработка води до голямо натоварване на процесора.
- CVE-2021-34548 - Реле може да подправя RELAY_END и RELAY_RESOLVED клетки в полузатворени потоци, позволявайки да се прекрати поток, който е създаден без участието на това реле.
- TROVE-2021-004: Добавени са допълнителни проверки за откриване на грешки при достъп до генератора на произволни числа OpenSSL (с изпълнението по подразбиране на RNG в OpenSSL такива грешки не се появяват).
От останалите промени които се открояват:
- Възможността за ограничаване на силата на връзките на клиента към релета е добавена към подсистемата за защита DoS.
- В релета публикуването на статистически данни за броя на услугите за лук се извършва въз основа на третата версия на протокола и обема на техния трафик.
- Поддръжката за опцията DirPorts е премахната от кода за релета, който не се използва за този тип възел.
Рефакторинг на кода. - Подсистемата за защита на DoS е преместена в мениджъра на подсистемата.
Накрая ако се интересувате да научите повече за това за тази нова версия, можете да проверите подробностите в следната връзка.
Как да получите Tor 0.4.6.5?
За да получите тази нова версия, просто отидете на официалния уебсайт на проекта и в раздела за изтегляне можем да получим изходния код за компилирането му. Можете да получите изходния код от следваща връзка.
Докато за специалния случай на потребители на Arch Linux можем да го получим от хранилището AUR. Само в момента, в който пакетът не е актуализиран, можете да го наблюдавате от следващия линк и веднага щом е налице, можете да извършите инсталацията, като напишете следната команда:
yay -S tor-git