Tor 0.4.6.5 arriba amb suport per a la tercera versió dels serveis onion i diu adéu a les anteriors

Darkcrizt

4 minuts

fa pocs es va donar a conèixer el llançament de la nova versió Tor 0.4.6.5 la qual es considera com la primera versió estable de la branca 0.4.6, que ha evolucionat durant els últims cinc mesos.

La branca 0.4.6 es mantindrà com a part d'un cicle de manteniment regular; les actualitzacions s'interrompran 9 mesos o 3 mesos després de l'llançament de la branca 0.4.7.x, a més que es continua proporcionant un cicle de suport llarg (LTS) per a la branca 0.3.5, les actualitzacions es publicaran fins a l'1 de febrer de 2022.

A el mateix temps, es van formar les versions 0.3.5.15, 0.4.4.9 i 0.4.5.9 de Tor, que van corregir les vulnerabilitats de DoS que podrien causar la denegació de servei als clients de serveis de ceba i retransmissions.

Principals novetats de Tor 0.4.6.5

En aquesta nova versió es va agregar la capacitat de crear «serveis onion» basats en la tercera versió de l'protocol amb autenticació d'accés de clients a través d'arxius en el directori 'authorized_clients'.

A més de que també es va proporcionar la capacitat de passar informació de congestió en dades extrainfo que es poden usar per equilibrar la càrrega en la xarxa. La transferència mètrica està controlada per l'opció OverloadStatistics en torrc.

També podrem trobar que s'ha afegit una bandera per als relés que permet a l'operador de el node comprendre que el relé no està inclòs en el consens quan els servidors seleccionen directoris (per exemple, quan hi ha massa relés en una adreça IP).

D'altra banda s'esmenta que es va eliminar el suport per als serveis onion més antics basats en la segona versió de l'protocol, que s'ha declarat obsolet fa un any. S'espera l'eliminació completa de el codi associat amb la segona versió de l'protocol a la tardor. La segona versió de l'protocol es va desenvolupar fa uns 16 anys i, a causa de l'ús d'algoritmes obsolets, no es pot considerar segura en les condicions modernes.

Fa dos anys i mig, en la versió 0.3.2.9, es va oferir als usuaris la tercera versió de l'protocol, notable per la transició a adreces de 56 caràcters, protecció més fiable contra fuites de dades a través de servidors de directori, 3 extensible estructura modular i l'ús d'algoritmes SHA25519, ed25519 i curve1 en lloc de SHA1024, DH i RSA-XNUMX.

De les vulnerabilitats solucionades s'esmenten les següents:

  • CVE-2021-34550: accés a una àrea de memòria fora de la memòria intermèdia assignat al codi per analitzar descriptors de serveis ceba basats en la tercera versió de l'protocol. Un atacant pot, col·locant un descriptor de servei de ceba especialment dissenyat, iniciar el bloqueig de qualsevol client que intenti accedir a aquest servei de ceba.
  • CVE-2021-34549 - Capacitat per realitzar un atac que provoqui la denegació de servei dels relés. Un atacant pot formar cadenes amb identificadors que provoquin col·lisions en la funció hash, el processament condueix a una gran càrrega en la CPU.
  • CVE-2021-34548: un relé podria falsificar les cel·les RELAY_END i RELAY_RESOLVED en fluxos semitancats, el que va permetre acabar un flux que es va crear sense la participació d'aquest relé.
  • Trove-2021-004: es van agregar verificacions addicionals per detectar falles a l'accedir a l'generador de nombres aleatoris d'OpenSSL (amb la implementació per defecte de RNG en OpenSSL, com falles no apareixen).

Dels altres canvis que es destaquen:

  • S'ha afegit als el subsistema de protecció DoS la capacitat de limitar la intensitat de les connexions dels clients als relés.
  • En relleus s'implementa la publicació d'estadístiques sobre el nombre de serveis ceba sobre la base de la tercera versió de l'protocol i el volum del seu trànsit.
  • Es va eliminar el suport per l'opció DirPorts de el codi per relés, que no s'usa per a aquest tipus de node.
    Refactorització de el codi.
  • El subsistema de protecció DoS s'ha traslladat a l'administrador de subsistemes.

Finalment si estàs interessat en conèixer més a l'respecte sobre aquesta nova versió, pots consultar els detalls a el següent enllaç.

¿Com obtenir Tor 0.4.6.5?

Per poder obtenir aquesta nova versió, n'hi ha prou amb dirigir-nos a la pàgina web oficial de el projecte i en la seva secció de descàrregues podrem obtenir el codi font per a la seva compilació. Pots obtenir el codi font des del següent enllaç.

Mentre que per al cas especial d'usuaris d'Arch Linux podrem obtenir des del repositori de AUR. Només que a hores d'ara no s'ha actualitzat el paquet, pots la monitorització des del següent enllaç i pel que fa aquest disponible pots fer la instal·lació teclejant la següent comanda:

yay -S tor-git


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.