Kilka lat temu ogłoszono wydanie nowej wersji Tora 0.4.6.5 który uważana jest za pierwszą stabilną wersję gałęzi 0.4.6, która ewoluowała w ciągu ostatnich pięciu miesięcy.
Oddział 0.4.6 będą utrzymywane w ramach regularnego cyklu konserwacji; Aktualizacje zostaną przerwane 9 miesięcy lub 3 miesiące po wydaniu gałęzi 0.4.7.x, oprócz dalszego zapewniania długiego cyklu wsparcia (LTS) dla gałęzi 0.3.5, którego aktualizacje będą publikowane do 1 Luty 2022.
W tym samym czasie powstały wersje Tora 0.3.5.15, 0.4.4.9 i 0.4.5.9, które naprawiły luki DoS, które mogły powodować odmowę usługi klientom usług Onion i Relay.
Główne nowe funkcje Tor 0.4.6.5
W tej nowej wersji dodano możliwość tworzenia "serwisów cebulowych" w oparciu o trzecią wersję protokołu z uwierzytelnianiem dostępu klienta poprzez pliki w katalogu 'authorized_clients'.
Poza tym też zapewniono możliwość przekazywania informacji o zatorach w danych extrainfo które można wykorzystać do zrównoważenia obciążenia w sieci. Transfer metryk jest kontrolowany przez opcję OverloadStatistics w torrc.
Możemy również stwierdzić, że dla przekaźników została dodana flaga, która pozwala operatorowi węzła zrozumieć, że przekaźnik nie jest uwzględniony w konsensusie, gdy serwery wybierają katalogi (na przykład, gdy jest zbyt wiele przekaźników w jednym adresie IP).
Z drugiej strony jest o tym mowa wsparcie dla starszych usług opartych na cebuli zostało usunięte W drugiej wersji protokołu, która rok temu została uznana za przestarzałą. Całkowite usunięcie kodu związanego z drugą wersją protokołu spodziewane jest jesienią. Druga wersja protokołu została opracowana około 16 lat temu, a ze względu na zastosowanie przestarzałych algorytmów nie można jej uznać za bezpieczną we współczesnych warunkach.
Dwa i pół roku temu w wersji 0.3.2.9 udostępniono użytkownikom trzecią wersję protokołu, wyróżniającą się przejściem na adresy 56-znakowe, bardziej niezawodną ochroną przed wyciekiem danych przez serwery katalogowe, rozszerzalną modułową strukturą i wykorzystanie algorytmów SHA3, ed25519 i curve25519 zamiast SHA1, DH i RSA-1024.
Z naprawionych luk wspomina się o następujących kwestiach:
- CVE-2021-34550: dostęp do obszaru pamięci poza buforem przydzielonym w kodzie w celu przeanalizowania deskryptorów usług cebuli w oparciu o trzecią wersję protokołu. Osoba atakująca może, umieszczając specjalnie spreparowany deskryptor usługi cebuli, zainicjować blokowanie dowolnego klienta, który próbuje uzyskać dostęp do tej usługi cebuli.
- CVE-2021-34549 — Możliwość przeprowadzenia ataku powodującego odmowę obsługi przekaźników. Atakujący może tworzyć ciągi z identyfikatorami, które powodują kolizje w funkcji skrótu, których przetwarzanie prowadzi do dużego obciążenia procesora.
- CVE-2021-34548 — Przekaźnik może sfałszować komórki RELAY_END i RELAY_RESOLVED w przepływach półzamkniętych, umożliwiając zakończenie przepływu utworzonego bez udziału tego przekaźnika.
- TROVE-2021-004: Dodano dodatkowe testy w celu wykrycia błędów podczas uzyskiwania dostępu do generatora liczb losowych OpenSSL (przy domyślnej implementacji RNG w OpenSSL takie błędy nie pojawiają się).
Z innych zmian które wyróżniają się:
- Do podsystemu ochrony przed atakami DoS dodano możliwość ograniczenia siły połączeń klientów z przekaźnikami.
- W przekaźnikach publikowanie statystyk dotyczących liczby usług cebulowych jest realizowane w oparciu o trzecią wersję protokołu i wielkość ich ruchu.
- Usunięto obsługę opcji DirPorts z kodu dla przekaźników, która nie jest używana dla tego typu węzła.
Refaktoryzacja kodu. - Podsystem ochrony przed atakami DoS został przeniesiony do menedżera podsystemu.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat o nowej wersji możesz sprawdzić szczegóły w poniższy link.
Jak zdobyć Tora 0.4.6.5?
Aby uzyskać tę nową wersję, wystarczy wejść na oficjalną stronę projektu aw dziale download możemy pobrać kod źródłowy do jego kompilacji. Możesz pobrać kod źródłowy z następujący link.
Natomiast dla szczególnego przypadku użytkowników Arch Linux możemy go pobrać z repozytorium AUR. Dopiero w chwili, gdy pakiet nie został zaktualizowany, możesz go monitorować z poniższego linku a gdy tylko będzie dostępny, możesz przeprowadzić instalację, wpisując następujące polecenie:
yay -S tor-git