Prije malo najavljeno je izdanje nove Tor verzije 0.4.6.5 koji smatra se prvom stabilnom verzijom grane 0.4.6, koji se razvio u posljednjih pet mjeseci.
Podružnica 0.4.6 održavat će se kao dio redovnog ciklusa održavanja; Ažuriranja će se prekinuti 9 mjeseci ili 3 mjeseca nakon izdavanja podružnice 0.4.7.x, uz nastavak pružanja dugog ciklusa podrške (LTS) za podružnicu 0.3.5, čija će ažuriranja biti objavljena do 1. Februara 2022.
Istodobno su formirane Tor verzije 0.3.5.15, 0.4.4.9 i 0.4.5.9, koje su popravljale DoS ranjivosti koje bi mogle prouzrokovati odbijanje usluge klijentima usluge Onion i Relay.
Glavne nove karakteristike Tor 0.4.6.5
U ovoj novoj verziji je dodao mogućnost stvaranja "usluga luka" na osnovu treće verzije protokola s autentifikacijom pristupa klijenta kroz datoteke u direktoriju 'odobreni_klijenti'.
Pored toga takođe pružena je mogućnost prosljeđivanja informacija o zagušenju u ekstrainfo podacima koji se mogu koristiti za uravnoteženje opterećenja na mreži. Prijenos metrike kontrolira opcija OverloadStatistics u torrc-u.
Također možemo otkriti da je za releje dodana zastavica koja omogućava čvoru operatora da shvati da relej nije uključen u konsenzus kada serveri odabiru direktorijume (na primjer, kada ima previše releja na jednoj IP adresi).
S druge strane se to spominje Uklonjena je podrška za starije usluge zasnovane na luku U drugoj verziji protokola, koji je prije godinu dana proglašen zastarjelim. Potpuno uklanjanje koda povezanog s drugom verzijom protokola očekuje se na jesen. Druga verzija protokola razvijena je prije otprilike 16 godina, a zbog upotrebe zastarjelih algoritama, ne može se smatrati sigurnom u modernim uvjetima.
Prije dvije i pol godine, u verziji 0.3.2.9, korisnicima je ponuđena treća verzija protokola, značajna po prijelazu na adrese od 56 znakova, pouzdanija zaštita od curenja podataka putem poslužitelja direktorija, proširiva modularna struktura i upotreba algoritama SHA3, ed25519 i krivulja25519 umjesto SHA1, DH i RSA-1024.
Od ranjivosti popravljene spominju se:
- CVE-2021-34550: pristup memorijskom području izvan međuspremnika dodijeljenog u kodu za raščlanjivanje deskriptora usluge luka na osnovu treće verzije protokola. Napadač može postavljanjem posebno izrađenog deskriptora usluge luka pokrenuti blokiranje bilo kojeg klijenta koji pokuša pristupiti ovoj usluzi luka.
- CVE-2021-34549 - Sposobnost izvođenja napada koji uzrokuje uskraćivanje usluge releja. Napadač može oblikovati nizove s identifikatorima koji uzrokuju sudare u hash funkciji, čija obrada dovodi do velikog opterećenja na CPU.
- CVE-2021-34548 - Relej može prevariti RELAY_END i RELAY_RESOLVED ćelije u poluzatvorenim tokovima, omogućavajući da prekine tok koji je stvoren bez uključivanja ovog releja.
- TROVE-2021-004: Dodane su dodatne provjere za otkrivanje grešaka prilikom pristupa OpenSSL generatoru slučajnih brojeva (sa zadanom implementacijom RNG u OpenSSL, takvi se kvarovi ne pojavljuju).
Od ostalih promjena koji se ističu:
- Sposobnost ograničavanja snage klijentskih veza na releje dodana je u podsistem DoS zaštite.
- U relejima se objavljivanje statističkih podataka o broju usluga luka koristi na osnovu treće verzije protokola i obima njihovog prometa.
- Podrška za opciju DirPorts uklonjena je iz koda za releje, koji se ne koristi za ovu vrstu čvora.
Refaktoriranje koda. - Podsistem DoS zaštite premješten je u upravitelja podsistema.
Konačno ako ste zainteresirani da saznate više o tome o ovoj novoj verziji, detalje možete provjeriti u sljedeći link.
Kako doći do Tor 0.4.6.5?
Da biste dobili ovu novu verziju, samo idite na službenu web stranicu projekta a u njegovom dijelu za preuzimanje možemo dobiti izvorni kod za njegovu kompilaciju. Izvorni kod možete dobiti iz sljedeći link.
Dok za poseban slučaj korisnika Arch Linuxa možemo ga dobiti iz AUR spremišta. Samo u trenutku kada paket nije ažuriran, možete ga nadgledati sa slijedećeg linka i čim postane dostupna, možete izvršiti instalaciju upisivanjem sljedeće naredbe:
yay -S tor-git