For få siden udgivelsen af den nye Tor-version 0.4.6.5 blev annonceret hvilken betragtes som den første stabile udgivelse af 0.4.6-grenen, der har udviklet sig i løbet af de sidste fem måneder.
Filial 0.4.6 det vil blive vedligeholdt som en del af en regelmæssig vedligeholdelsescyklus; Opdateringer vil blive afbrudt 9 måneder eller 3 måneder efter udgivelsen af 0.4.7.x-grenen, ud over at fortsætte med at levere Long Cycle Support (LTS) til 0.3.5-grenen, med opdateringer, der frigives indtil 1. januar. februar 2022 .
Samtidig blev Tor-versionerne 0.3.5.15, 0.4.4.9 og 0.4.5.9 dannet, som rettede DoS-sårbarheder, der kunne forårsage et lammelsesangreb til onion- og relæserviceklienter.
Vigtigste nye funktioner i Tor 0.4.6.5
I denne nye version tilføjet muligheden for at oprette "løgtjenester" baseret på den tredje version af protokollen med klientadgangsgodkendelse via filer i mappen 'authorized_clients'.
Udover det også forudsat mulighed for at videregive oplysninger om overbelastning i ekstrainfo-data der kan bruges til at balancere belastningen på netværket. Overførselsmetrikken styres af indstillingen OverloadStatistics i torrc.
Vi kan også opleve, at der er tilføjet et flag for relæer, der gør det muligt for nodeoperatøren at forstå, at relæet ikke er inkluderet i konsensus, når servere vælger mapper (f.eks. når der er for mange relæer på én IP-adresse).
På den anden side nævnes det fjernet understøttelse af ældre løgbaserede tjenester i den anden version af protokollen, som blev erklæret forældet for et år siden. Fuldstændig fjernelse af koden forbundet med den anden version af protokollen forventes i efteråret. Den anden version af protokollen blev udviklet for omkring 16 år siden, og på grund af brugen af forældede algoritmer kan den ikke betragtes som sikker under moderne forhold.
For to et halvt år siden, i version 0.3.2.9, blev den tredje version af protokollen tilbudt brugerne, kendt for overgangen til 56-tegns adresser, mere pålidelig beskyttelse mod datalækage via katalogservere, en udvidelsesbar modulær struktur og brug af SHA3, ed25519 og curve25519 algoritmer i stedet for SHA1, DH og RSA-1024.
Af sårbarhederne rettet følgende er nævnt:
- CVE-2021-34550: Adgang til et hukommelsesområde uden for bufferen allokeret i kode til at analysere deskriptorer af løgtjenester baseret på den tredje version af protokollen. En angriber kan, ved at placere en specielt udformet løgtjenestebeskrivelse, starte blokeringen af enhver klient, der forsøger at få adgang til denne løgtjeneste.
- CVE-2021-34549 – Evne til at udføre et angreb, der forårsager lammelsesangreb for relæerne. En angriber kan danne strenge med identifikatorer, der forårsager hashfunktionskollisioner, hvis behandling fører til høj CPU-belastning.
- CVE-2021-34548 – Et relæ kunne forfalske cellerne RELAY_END og RELAY_RESOLVED i semi-lukkede strømme, hvilket gør det muligt at afslutte en strøm, der blev oprettet uden involvering af dette relæ.
- TROVE-2021-004 – Tilføjet yderligere kontrol for fejl ved adgang til OpenSSL RNG (med standard RNG-implementeringen i OpenSSL vises sådanne fejl ikke).
Af de andre ændringer der skiller sig ud:
- Muligheden for at begrænse styrken af klientforbindelser til relæer er blevet tilføjet til DoS-beskyttelsesundersystemet.
- I relæer implementeres offentliggørelsen af statistikker over antallet af løgtjenester baseret på den tredje version af protokollen og mængden af deres trafik.
- Fjernet understøttelse af DirPorts-muligheden fra koden til relæer, som ikke bruges til denne type node.
Kode refactoring. - DoS-beskyttelsesundersystemet er blevet flyttet til undersystemadministratoren.
Endelig hvis du er interesseret i at vide mere om det om denne nye version kan du tjekke detaljerne i følgende link.
Hvordan får man Tor 0.4.6.5?
For at få denne nye version, bare gå til den officielle hjemmeside for projektet og i dens download sektion kan vi få kildekoden til dens kompilering. Du kan hente kildekoden fra følgende link.
Mens vi i specielt tilfælde af Arch Linux-brugere kan få det fra AUR-arkivet. Først i det øjeblik pakken ikke er opdateret, kan du overvåge den fra følgende link og så snart den er tilgængelig, kan du udføre installationen ved at skrive følgende kommando:
yay -S tor-git