Muutama vuosi sitten uuden Tor-version 0.4.6.5 julkaisu ilmoitettiin mikä sitä pidetään haaran 0.4.6 ensimmäisenä vakaana versiona, joka on kehittynyt viimeisten viiden kuukauden aikana.
Haara 0.4.6 ylläpidetään osana säännöllistä huoltosykliä; Päivitykset lopetetaan 9 tai 3 kuukauden kuluttua 0.4.7.x-haaran julkaisemisesta sen lisäksi, että jatketaan pitkän tukisyklin (LTS) tarjoamista 0.3.5-haaralle, jonka päivityksiä julkaistaan 1. päivään saakka. Helmikuu 2022.
Samanaikaisesti muodostettiin Tor-versiot 0.3.5.15, 0.4.4.9 ja 0.4.5.9, jotka korjasivat DoS-haavoittuvuudet, jotka voivat aiheuttaa palveluneston Onion- ja Relay-palveluasiakkaille.
Tor 0.4.6.5: n tärkeimmät uudet ominaisuudet
Tässä uudessa versiossa lisäsi mahdollisuuden luoda "sipulipalveluja" kolmannen version perusteella protokolla asiakkaan käyttöoikeuksien todennuksella hakemistossa 'valtuutetut_asiakkaat' olevien tiedostojen kautta.
Sen lisäksi myös kyky siirtää ruuhkautumistietoja extrainfo-tiedoissa tarjottiin jota voidaan käyttää verkon kuormituksen tasapainottamiseen. Metristä siirtoa ohjaa torrcissa oleva OverloadStatistics-vaihtoehto.
Voimme myös huomata, että releille on lisätty lippu, jonka avulla solmuoperaattori ymmärtää, että rele ei sisälly konsensukseen, kun palvelimet valitsevat hakemistoja (esimerkiksi kun yhdessä IP-osoitteessa on liikaa releitä).
Toisaalta mainitaan se tuki vanhemmille sipulipalveluille on poistettu Protokollan toisessa versiossa, joka julistettiin vanhentuneeksi vuosi sitten. Protokollan toiseen versioon liittyvän koodin poistamisen odotetaan tapahtuvan syksyllä. Protokollan toinen versio kehitettiin noin 16 vuotta sitten, ja vanhentuneiden algoritmien käytön vuoksi sitä ei voida pitää turvallisena nykyaikaisissa olosuhteissa.
Kaksi ja puoli vuotta sitten, versiossa 0.3.2.9, käyttäjille tarjottiin protokollan kolmas versio, joka oli merkittävä siirtymällä 56-merkkisiin osoitteisiin, luotettavampi suojaus tietovuotoja vastaan hakemistopalvelimien kautta, laajennettava modulaarinen rakenne ja algoritmien SHA3, ed25519 ja käyrä25519 käyttö SHA1, DH ja RSA-1024 sijaan.
Korjatuista haavoittuvuuksista mainitaan seuraavat:
- CVE-2021-34550: pääsy muistialueelle puskurin ulkopuolella, joka on varattu koodissa jäsentämään sipulipalvelukuvaajia protokollan kolmannen version perusteella. Hyökkääjä voi sijoittamalla erityisen muotoillun sipulipalvelukuvaajan aloittaa kaikkien sellaisten asiakkaiden estämisen, jotka yrittävät käyttää tätä sipulipalvelua.
- CVE-2021-34549 - Kyky suorittaa hyökkäys, joka aiheuttaa releiden palveluneston. Hyökkääjä voi muodostaa merkkijonoja tunnisteilla, jotka aiheuttavat törmäyksiä hash-toiminnossa, joiden käsittely johtaa suurella kuormituksella suorittimeen.
- CVE-2021-34548 - Rele voisi huijata RELAY_END- ja RELAY_RESOLVED-soluja puoliksi suljetuissa virtauksissa, jolloin lopettaa virta, joka on luotu ilman tämän releen osallisuutta.
- TROVE-2021-004: Lisättiin lisätarkistuksia vikojen havaitsemiseksi OpenSSL-satunnaislukugeneraattoria käytettäessä (kun RNG: n oletustoteutus OpenSSL: ssä, tällaisia vikoja ei näy).
Muista muutoksista jotka erottuvat:
- Kyky rajoittaa asiakasyhteyksien voimakkuutta releisiin on lisätty DoS-suojausalijärjestelmään.
- Viestissä sipulipalvelujen lukumäärää koskevien tilastojen julkaisu toteutetaan protokollan kolmannen version ja niiden liikenteen määrän perusteella.
- DirPorts-vaihtoehdon tuki on poistettu releiden koodista, jota ei käytetä tämäntyyppisille solmuille.
Koodin korjaus. - DoS-suojauksen alijärjestelmä on siirretty alijärjestelmän hallintaan.
Vihdoin jos olet kiinnostunut tietämään siitä lisää tästä uudesta versiosta voit tarkistaa yksityiskohdat seuraava linkki.
Kuinka saada Tor 0.4.6.5?
Saadaksesi uuden version, mene vain projektin virallisille verkkosivustoille ja sen latausosasta voimme saada lähdekoodin sen kokoamista varten. Voit hankkia lähdekoodin seuraava linkki.
Arch Linux -käyttäjien erityistapauksessa voimme hankkia sen AUR-arkistosta. Vain tällä hetkellä, kun pakettia ei ole päivitetty, voit seurata sitä seuraavasta linkistä ja heti kun se on käytettävissä, voit suorittaa asennuksen kirjoittamalla seuraavan komennon:
yay -S tor-git