Pirms dažiem tika paziņots par jaunās Tor versijas 0.4.6.5 izlaišanu kas to uzskata par 0.4.6. filiāles pirmo stabilo versiju, kas ir attīstījusies pēdējo piecu mēnešu laikā.
Filiāle 0.4.6 tiks uzturēta kā daļa no regulāras apkopes cikla; Atjauninājumi tiks pārtraukti 9 mēnešus vai 3 mēnešus pēc 0.4.7.x filiāles izlaišanas, kā arī turpinās nodrošināt ilgu atbalsta ciklu (LTS) 0.3.5 filiālei, kuras atjauninājumi tiks izlaisti līdz 1. maijam. 2022. gada februāris.
Tajā pašā laikā tika izveidotas Tor versijas 0.3.5.15, 0.4.4.9 un 0.4.5.9, kas novērsa DoS ievainojamības, kas varētu izraisīt pakalpojumu atteikšanu Onion un Relay pakalpojumu klientiem.
Tor 0.4.6.5 galvenās jaunās funkcijas
Šajā jaunajā versijā pievienoja iespēju izveidot "sīpolu pakalpojumus", pamatojoties uz trešo versiju protokola ar klienta piekļuves autentifikāciju, izmantojot direktorijā “Author_clients” esošos failus.
Bez tam arī tika nodrošināta iespēja nodot informāciju par sastrēgumiem extrainfo datos ko var izmantot, lai līdzsvarotu tīkla slodzi. Metrisko pārsūtīšanu kontrolē torrc opcija OverloadStatistics.
Mēs varam arī atklāt, ka relejiem ir pievienots karodziņš, kas mezglu operatoram ļauj saprast, ka relejs nav iekļauts konsensā, kad serveri izvēlas direktorijus (piemēram, ja vienā IP adresē ir pārāk daudz releju).
No otras puses, tas ir minēts atbalsts vecākiem sīpolu pakalpojumiem ir atcelts Protokola otrajā versijā, kas pirms gada tika pasludināta par novecojušu. Pilna koda noņemšana, kas saistīta ar protokola otro versiju, gaidāma rudenī. Otrā protokola versija tika izstrādāta apmēram pirms 16 gadiem, un novecojušu algoritmu izmantošanas dēļ to nevar uzskatīt par drošu mūsdienu apstākļos.
Pirms divarpus gadiem versijā 0.3.2.9 lietotājiem tika piedāvāta trešā protokola versija, kas bija ievērojama ar pāreju uz 56 rakstzīmju adresēm, uzticamāku aizsardzību pret datu noplūdi caur direktoriju serveriem, paplašināmu moduļu struktūru un SHA3, ed25519 un curve25519 algoritmu izmantošana SHA1, DH un RSA-1024 vietā.
No fiksētajām ievainojamībām tiek minēti šādi:
- CVE-2021-34550: piekļuve atmiņas zonai ārpus bufera, kas kodā piešķirts sīpolu pakalpojumu deskriptoru parsēšanai, pamatojoties uz protokola trešo versiju. Uzbrucējs, ievietojot īpaši izstrādātu sīpolu servisa deskriptoru, var sākt bloķēt jebkuru klientu, kurš mēģina piekļūt šim sīpolu pakalpojumam.
- CVE-2021-34549 - Iespēja veikt uzbrukumu, kas izraisa releju apkalpošanas atteikumu. Uzbrucējs var veidot virknes ar identifikatoriem, kas izraisa sadursmes jaucējfunkcijā, kuru apstrāde izraisa lielu CPU slodzi.
- CVE-2021-34548 - relejs varēja maldināt RELAY_END un RELAY_RESOLVED šūnas daļēji slēgtos plūsmās, ļaujot pārtraukt plūsmu, kas tika izveidota, neiesaistot šo releju.
- TROVE-2021-004: pievienotas papildu pārbaudes, lai noteiktu kļūmes, piekļūstot OpenSSL nejaušo skaitļu ģeneratoram (ar RNG noklusējuma ieviešanu OpenSSL, šādas kļūmes neparādās).
No pārējām izmaiņām kas izceļas:
- Spēja ierobežot klienta savienojumu stiprumu ar relejiem ir pievienota DoS aizsardzības apakšsistēmai.
- Stafetēs statistikas publikācija par sīpolu servisu skaitu tiek īstenota, pamatojoties uz protokola trešo versiju un to trafika apjomu.
- Atbalsts opcijai DirPorts ir noņemts no releju koda, kas netiek izmantots šāda veida mezgliem.
Kodu atjaunošana. - DoS aizsardzības apakšsistēma ir pārvietota uz apakšsistēmas pārvaldnieku.
Beidzot ja jūs interesē uzzināt vairāk par to par šo jauno versiju varat skatīt sīkāku informāciju vietnē šo saiti.
Kā iegūt Tor 0.4.6.5?
Lai iegūtu šo jauno versiju, vienkārši dodieties uz oficiālo projekta vietni un tā lejupielādes sadaļā mēs varam iegūt avota kodu tā apkopošanai. Jūs varat iegūt avota kodu vietnē šī saite.
Lai gan Arch Linux lietotāju īpašajam gadījumam mēs to varam iegūt no AUR krātuves. Tikai tajā brīdī, kad pakete nav atjaunināta, jūs varat to uzraudzīt no šīs saites un tiklīdz tas ir pieejams, varat to instalēt, ierakstot šādu komandu:
yay -S tor-git