Vähe tagasi kuulutati välja uue Tori versiooni 0.4.6.5 väljaandmine mis seda peetakse haru 0.4.6 esimeseks stabiilseks versiooniks, mis on viimase viie kuu jooksul arenenud.
Haru 0.4.6 seda hooldatakse osana tavapärasest hooldustsüklist; Värskendused katkestatakse 9 kuud või 3 kuud pärast haru 0.4.7.x väljaandmist, lisaks jätkatakse pika tugitsükli (LTS) pakkumist 0.3.5 haru jaoks, mille värskendusi antakse välja kuni 1. jaanuarini. Veebruar 2022.
Samal ajal moodustati Tori versioonid 0.3.5.15, 0.4.4.9 ja 0.4.5.9, mis fikseerisid DoS-i haavatavused, mis võivad põhjustada teenuse keelamise Onion ja Relay teenuse klientidele.
Tor 0.4.6.5 peamised uued funktsioonid
Selles uues versioonis lisas võimaluse luua "sibulateenuseid" kolmanda versiooni põhjal protokolli kliendi juurdepääsu autentimisega kataloogis 'Author_clients' olevate failide kaudu.
Peale selle ka pakuti võimalust edastada ülekoormusteavet extrainfo andmetes mida saab kasutada võrgu koormuse tasakaalustamiseks. Meetrilist ülekannet juhib torrc-i suvand OverloadStatistics.
Samuti võime leida, et releedele on lisatud lipp, mis võimaldab sõlmeoperaatoril mõista, et relee ei kuulu konsensuse hulka, kui serverid valivad kataloogid (näiteks kui ühel IP-aadressil on liiga palju releesid).
Teisalt mainitakse seda toetus vanematele sibulateenustele Protokolli teises versioonis, mis kuulutati vananenuks aasta tagasi. Protokolli teise versiooniga seotud koodi täielik eemaldamine on oodata sügisel. Protokolli teine versioon töötati välja umbes 16 aastat tagasi ja vananenud algoritmide kasutamise tõttu ei saa seda tänapäevastes tingimustes ohutuks pidada.
Kaks ja pool aastat tagasi pakuti versioonis 0.3.2.9 kasutajatele protokolli kolmandat versiooni, mis oli märkimisväärne 56-tähemärgilistele aadressidele ülemineku, usaldusväärsema kaitse vastu kataloogide serverite kaudu lekitatavate andmete eest, laiendatava moodulstruktuuri ja algoritmide SHA3, ed25519 ja curve25519 kasutamine SHA1, DH ja RSA-1024 asemel.
Fikseeritud haavatavustest mainitakse järgmisi:
- CVE-2021-34550: juurdepääs mälupiirkonnale väljaspool puhvrit, mis on koodis eraldatud sibulateenuse kirjeldajate sõelumiseks protokolli kolmanda versiooni põhjal. Ründaja saab spetsiaalselt välja töötatud sibulateenuse kirjeldaja asetades algatada kõigi klientide blokeerimise, kes üritavad sellele sibulateenusele juurde pääseda.
- CVE-2021-34549 - Võimalus läbi viia rünnak, mis põhjustab releede teenuse keelamise. Ründaja võib moodustada identifikaatoritega stringid, mis põhjustavad räsimisfunktsioonis kokkupõrkeid, mille töötlemine toob protsessorile kaasa suure koormuse.
- CVE-2021-34548 - relee võib võltsida RELAY_END ja RELAY_RESOLVED lahtrid pooleldi suletud voogudes, võimaldades lõpetada selle relee kaasamiseta loodud voo.
- TROVE-2021-004: lisati täiendavad kontrollid, et tuvastada tõrkeid OpenSSL-i juhuslike arvude generaatorile juurdepääsemisel (RNG vaikerakendusega OpenSSL-is selliseid tõrkeid ei kuvata).
Muudest muudatustest mis paistavad silma:
- DoS-kaitse alamsüsteemi on lisatud võimalus piirata klientide ühenduste tugevust releedega.
- Releedes rakendatakse sibulateenuste arvu statistika avaldamist protokolli kolmanda versiooni ja nende liikluse mahu põhjal.
- Releede koodist on eemaldatud tugi suvandile DirPorts, mida seda tüüpi sõlmede puhul ei kasutata.
Koodi refaktreerimine. - DoS-kaitse alamsüsteem on viidud alamsüsteemi halduri juurde.
Lõpuks kui olete huvitatud sellest rohkem teada saama selle uue versiooni kohta saate üksikasju vaadata lehelt järgmine link.
Kuidas saada Tor 0.4.6.5?
Selle uue versiooni saamiseks lihtsalt minge projekti ametlikule veebisaidile ja selle allalaadimise jaotisest saame selle koostamiseks lähtekoodi. Lähtekoodi saate saidilt järgmine link.
Kui Arch Linuxi kasutajate erijuhtumi jaoks saame selle AUR-i hoidlast. Ainult hetkel, kui paketti pole värskendatud, saate seda jälgida järgmiselt lingilt ja niipea, kui see on saadaval, saate installi käivitada, tippides järgmise käsu:
yay -S tor-git