Prieš keletą dienų buvo paskelbta naujos „Tor“ versijos 0.4.6.5 išleidimas kuri jis laikomas pirmąja stabilia šakos 0.4.6 versija, kad pasikeitė per pastaruosius penkis mėnesius.
Filialas 0.4.6 bus prižiūrimi kaip reguliaraus priežiūros ciklo dalis; Naujinimai bus nutraukti praėjus 9 ar 3 mėnesiams po 0.4.7.x šakos išleidimo, be to, toliau bus teikiamas ilgas 0.3.5 šakos palaikymo ciklas (LTS), kurio atnaujinimai bus išleisti iki 1 d. 2022 m. Vasaris.
Tuo pačiu metu buvo suformuotos „Tor“ versijos 0.3.5.15, 0.4.4.9 ir 0.4.5.9, kurios pašalino „DoS“ spragas, dėl kurių „Onion“ ir „Relay“ paslaugų klientams gali būti atsisakyta teikti paslaugas.
Pagrindinės naujos „Tor 0.4.6.5“ savybės
Šioje naujoje versijoje pridėta galimybė kurti „svogūnų paslaugas“ remiantis trečiąja versija protokolo su kliento prieigos autentifikavimu per failus, esančius kataloge „Author_clients“.
Be to, taip pat buvo suteikta galimybė perduoti perkrovos informaciją „extrainfo“ duomenyse kuriuos galima naudoti norint subalansuoti tinklo apkrovą. Metrinį perdavimą valdo „OverloadStatistics“ parinktis „torrc“.
Taip pat galime pastebėti, kad relėms buvo pridėta žymė, leidžianti mazgo operatoriui suprasti, kad relė nėra įtraukta į konsensusą, kai serveriai pasirenka katalogus (pavyzdžiui, kai per daug relių yra viename IP adrese).
Kita vertus, minima pašalinta parama senesnėms svogūnais pagrįstoms paslaugoms Antroje protokolo versijoje, kuri prieš metus buvo paskelbta pasenusia. Tikimasi, kad visiškai pašalinsite kodą, susietą su antrąja protokolo versija, rudenį. Antroji protokolo versija buvo sukurta maždaug prieš 16 metų ir dėl pasenusių algoritmų naudojimo ji negali būti laikoma saugia šiuolaikinėmis sąlygomis.
Prieš dvejus su puse metų 0.3.2.9 versijoje vartotojams buvo pasiūlyta trečioji protokolo versija, pasižyminti perėjimu prie 56 simbolių adresų, patikimesne apsauga nuo duomenų nutekėjimo per katalogų serverius, išplėstine moduline struktūra ir SHA3, ed25519 ir curve25519 algoritmų naudojimas vietoj SHA1, DH ir RSA-1024.
Ištaisytų pažeidžiamumų minimi:
- CVE-2021-34550: prieiga prie atminties srities, esančios už buferio, kode priskirto svogūnų paslaugų aprašams analizuoti, remiantis trečiąja protokolo versija. Užpuolikas, įdėdamas specialiai sukurtą svogūnų tarnybos aprašą, gali užblokuoti klientą, bandantį pasiekti šią svogūnų tarnybą.
- CVE-2021-34549 - galimybė atlikti ataką, dėl kurios atsisakoma perduoti reles. Užpuolikas gali suformuoti eilutes su identifikatoriais, kurie sukelia maišos funkcijos susidūrimus, kuriuos apdorojus, CPU tenka didelė apkrova.
- CVE-2021-34548 - relė galėjo apgauti langelius RELAY_END ir RELAY_RESOLVED pusiau uždaruose srautuose, leisdama nutraukti srautą, sukurtą nedalyvaujant šiai relei.
- TROVE-2021-004: Pridėta papildomų patikrinimų, kad būtų galima nustatyti gedimus patekus į „OpenSSL“ atsitiktinių skaičių generatorių (su numatytuoju „OpenSSL“ RNG diegimu tokios gedimai nerodomi).
Iš kitų pokyčių kad išsiskiria:
- Galimybė apriboti kliento ryšių su relėmis stiprumą buvo įtraukta į DoS apsaugos posistemį.
- Estafetėse svogūnų paslaugų skaičiaus statistikos skelbimas įgyvendinamas remiantis trečiąja protokolo versija ir jų srauto apimtimi.
- Pašalintas „DirPorts“ parinkties palaikymas iš relių kodo, kuris nenaudojamas šio tipo mazgams.
Kodo pertvarkymas. - DoS apsaugos posistemis buvo perkeltas į posistemio valdytoją.
Pagaliau jei norite sužinoti daugiau apie tai apie šią naują versiją galite sužinoti išsamią informaciją šią nuorodą.
Kaip gauti Tor 0.4.6.5?
Norėdami gauti šią naują versiją, tiesiog eikite į oficialią projekto svetainę ir jo atsisiuntimo skyriuje galime gauti jo kompiliavimo šaltinio kodą. Šaltinio kodą galite gauti iš sekanti nuoroda.
Ypatingu „Arch Linux“ vartotojų atveju mes galime jį gauti iš AUR saugyklos. Tik tuo metu, kai paketas nebuvo atnaujintas, galite jį stebėti iš šios nuorodos ir kai tik jis bus pasiekiamas, galėsite atlikti diegimą įvesdami šią komandą:
yay -S tor-git