Tor 0.4.6.5 vem com suporte para a terceira versão dos serviços onion e diz adeus às anteriores

Darkcrizt

Minutos 4

Poucos atrás o lançamento da nova versão do Tor 0.4.6.5 foi anunciado a qual é considerada a primeira versão estável do branch 0.4.6, que evoluiu nos últimos cinco meses.

Branch 0.4.6 será mantida como parte de um ciclo de manutenção regular; As atualizações serão interrompidas 9 meses ou 3 meses após o lançamento do branch 0.4.7.x, além de continuar a fornecer um longo ciclo de suporte (LTS) para o branch 0.3.5, cujas atualizações serão lançadas até 1 Fevereiro de 2022.

Ao mesmo tempo, as versões do Tor 0.3.5.15, 0.4.4.9 e 0.4.5.9 foram formadas, que corrigiram vulnerabilidades DoS que poderiam causar negação de serviço para clientes de serviço Onion e Relay.

Principais novos recursos do Tor 0.4.6.5

Nesta nova versão adicionou a capacidade de criar "serviços de cebola" com base na terceira versão do protocolo com autenticação de acesso do cliente por meio de arquivos no diretório 'authorized_clients'.

Além disso também a capacidade de passar informações de congestionamento em dados extrainfo foi fornecida que pode ser usado para equilibrar a carga na rede. A transferência de métricas é controlada pela opção OverloadStatistics no torrc.

Também podemos descobrir que um sinalizador foi adicionado para os relés que permite ao operador do nó entender que o relé não está incluído no consenso quando os servidores selecionam diretórios (por exemplo, quando há muitos relés em um endereço IP).

Por outro lado, é mencionado que o suporte para serviços baseados em cebola mais antigos foi removido Na segunda versão do protocolo, que foi declarado obsoleto há um ano. A remoção completa do código associado à segunda versão do protocolo é esperada para o outono. A segunda versão do protocolo foi desenvolvida há cerca de 16 anos e, devido ao uso de algoritmos desatualizados, não pode ser considerado seguro nas condições modernas.

Há dois anos e meio, na versão 0.3.2.9, era oferecida aos usuários a terceira versão do protocolo, com destaque para a transição para endereços de 56 caracteres, proteção mais confiável contra vazamentos de dados através de servidores de diretório, estrutura modular extensível e o uso dos algoritmos SHA3, ed25519 e curve25519 em vez de SHA1, DH e RSA-1024.

Das vulnerabilidades corrigidas os seguintes são mencionados:

  • CVE-2021-34550: acesso a uma área de memória fora do buffer alocado no código para analisar descritores de serviço onion com base na terceira versão do protocolo Um invasor pode, ao colocar um descritor de serviço onion especialmente criado, iniciar o bloqueio de qualquer cliente que tente acessar esse serviço onion.
  • CVE-2021-34549 - Capacidade de realizar um ataque que provoque a negação de serviço dos relés. Um invasor pode formar strings com identificadores que causam colisões na função hash, cujo processamento leva a uma grande carga na CPU.
  • CVE-2021-34548 - Um relé pode falsificar células RELAY_END e RELAY_RESOLVED em fluxos semifechados, permitindo encerrar um fluxo que foi criado sem o envolvimento deste relé.
  • TROVE-2021-004: Adicionadas verificações adicionais para detectar falhas ao acessar o gerador de número aleatório OpenSSL (com a implementação padrão de RNG em OpenSSL, tais falhas não aparecem).

Das outras mudanças que se destacam:

  • A capacidade de limitar a força das conexões do cliente aos relés foi adicionada ao subsistema de proteção DoS.
  • Nos relés, a publicação de estatísticas sobre o número de serviços onion é implementada com base na terceira versão do protocolo e no volume do seu tráfego.
  • O suporte para a opção DirPorts foi removido do código para relés, que não é usado para este tipo de nó.
    Refatoração de código.
  • O subsistema de proteção DoS foi movido para o gerenciador de subsistema.

Finalmente se você estiver interessado em saber mais sobre isso sobre esta nova versão, você pode verificar os detalhes em o seguinte link.

Como obter o Tor 0.4.6.5?

Para obter esta nova versão, basta acessar o site oficial do projeto e em sua seção de download podemos obter o código-fonte para sua compilação. Você pode obter o código-fonte do link a seguir

Já para o caso especial de usuários do Arch Linux, podemos obtê-lo no repositório AUR. Apenas no momento em que o pacote não foi atualizado, você pode monitorá-lo a partir do seguinte link e assim que estiver disponível você pode realizar a instalação digitando o seguinte comando:

yay -S tor-git


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: AB Internet Networks 2008 SL
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.