Prije malo najavljeno je izlazak nove Tor verzije 0.4.6.5 koji smatra se prvom stabilnom verzijom grane 0.4.6, koji se razvio u posljednjih pet mjeseci.
Podružnica 0.4.6 održavat će se kao dio redovnog ciklusa održavanja; Ažuriranja će se prekinuti 9 mjeseci ili 3 mjeseca nakon izdavanja podružnice 0.4.7.x, uz nastavak pružanja dugog ciklusa podrške (LTS) za podružnicu 0.3.5, čija će ažuriranja biti objavljena do 1. Veljače 2022.
Istodobno su formirane Tor verzije 0.3.5.15, 0.4.4.9 i 0.4.5.9, koje su popravljale DoS ranjivosti koje bi mogle uzrokovati uskraćivanje usluge klijentima usluge Onion i Relay.
Glavne nove značajke Tor 0.4.6.5
U ovoj novoj verziji dodao mogućnost stvaranja "usluga luka" na temelju treće verzije protokola s provjerom autentičnosti pristupa klijenta kroz datoteke u direktoriju 'odobreni_klijenti'
Osim toga također pružena je mogućnost prosljeđivanja informacija o zagušenju u ekstrainfo podacima koji se mogu koristiti za uravnoteženje opterećenja na mreži. Prijenos metrike kontrolira opcija OverloadStatistics u torrcu.
Možemo također otkriti da je za releje dodana zastavica koja operateru čvora omogućuje da shvati da relej nije uključen u konsenzus kada poslužitelji odabiru direktorije (na primjer, ako na jednoj IP adresi ima previše releja).
S druge strane se spominje da Uklonjena je podrška za starije usluge na bazi luka U drugoj verziji protokola koja je prije godinu dana proglašena zastarjelom. Potpuno uklanjanje koda povezanog s drugom verzijom protokola očekuje se na jesen. Druga verzija protokola razvijena je prije otprilike 16 godina, a zbog upotrebe zastarjelih algoritama, ne može se smatrati sigurnom u suvremenim uvjetima.
Prije dvije i pol godine, u verziji 0.3.2.9, korisnicima je ponuđena treća verzija protokola, značajna po prijelazu na adrese od 56 znakova, pouzdanija zaštita od curenja podataka putem poslužitelja direktorija, proširiva modularna struktura i korištenje algoritama SHA3, ed25519 i krivulja25519 umjesto SHA1, DH i RSA-1024.
Od ranjivosti popravljene spominju se:
- CVE-2021-34550: pristup memorijskom području izvan međuspremnika dodijeljenog u kodu za raščlanjivanje deskriptora usluge luka na temelju treće verzije protokola. Napadač može postavljanjem posebno izrađenog deskriptora usluge luka pokrenuti blokiranje bilo kojeg klijenta koji pokuša pristupiti ovoj usluzi luka.
- CVE-2021-34549 - Sposobnost izvođenja napada koji uzrokuje uskraćivanje usluge releja. Napadač može oblikovati nizove s identifikatorima koji uzrokuju sudare u hash funkciji, čija obrada dovodi do velikog opterećenja CPU-a.
- CVE-2021-34548 - Relej bi mogao prevariti RELAY_END i RELAY_RESOLVED stanice u poluzatvorenim protocima, što omogućava prekid protoka koji je stvoren bez uključivanja ovog releja.
- TROVE-2021-004: Dodane su dodatne provjere za otkrivanje kvarova prilikom pristupa OpenSSL generatoru slučajnih brojeva (sa zadanom implementacijom RNG u OpenSSL, takvi se kvarovi ne pojavljuju).
Od ostalih promjena koji se ističu:
- Sposobnost ograničavanja snage klijentskih veza na releje dodana je u podsustav DoS zaštite.
- U relejima se objavljivanje statistike o broju usluga luka provodi na temelju treće verzije protokola i obujma njihovog prometa.
- Podrška za opciju DirPorts uklonjena je iz koda za releje, koji se ne koristi za ovu vrstu čvora.
Refaktoriranje koda. - Podsistem DoS zaštite premješten je u upravitelja podsustava.
Konačno ako vas zanima više o tome o ovoj novoj verziji, detalje možete provjeriti u sljedeći link.
Kako doći do Tor 0.4.6.5?
Da biste dobili ovu novu verziju, samo idite na službenu web stranicu projekta a u njegovom dijelu za preuzimanje možemo dobiti izvorni kod za njegovu kompilaciju. Izvorni kod možete dobiti iz sljedeći link.
Dok za poseban slučaj korisnika Arch Linuxa možemo ga dobiti iz AUR spremišta. Samo u trenutku kada paket nije ažuriran, možete ga nadgledati sa sljedeće veze i čim postane dostupna, možete izvršiti instalaciju upisivanjem sljedeće naredbe:
yay -S tor-git