Несколько лет назад анонсирован выпуск новой версии Tor 0.4.6.5 который считается первой стабильной версией ветки 0.4.6, это изменилось за последние пять месяцев.
Филиал 0.4.6 он будет обслуживаться как часть регулярного цикла обслуживания; Обновления будут прекращены через 9 месяцев или 3 месяца после выпуска ветки 0.4.7.x, в дополнение к продолжению предоставления длительного цикла поддержки (LTS) для ветки 0.3.5, обновления которой будут выпущены до 1 Февраль 2022 г.
В то же время были сформированы версии Tor 0.3.5.15, 0.4.4.9 и 0.4.5.9, в которых исправлены DoS-уязвимости, которые могли вызвать отказ в обслуживании для клиентов сервисов Onion и Relay.
Основные новые возможности Tor 0.4.6.5
В этой новой версии добавлена возможность создания "луковых сервисов" на базе третьей версии протокола с аутентификацией клиентского доступа через файлы в каталоге authorized_clients.
Кроме того, также предоставлена возможность передавать информацию о перегрузке в extrainfo данных которые можно использовать для балансировки нагрузки в сети. Передача метрики контролируется опцией OverloadStatistics в torrc.
Мы также можем обнаружить, что для реле был добавлен флаг, который позволяет оператору узла понять, что реле не включено в консенсус, когда серверы выбирают каталоги (например, когда слишком много реле в одном IP-адресе).
С другой стороны, упоминается, что поддержка старых сервисов onion на основе Во второй версии протокола, который год назад был объявлен устаревшим. Осенью ожидается полное удаление кода, связанного со второй версией протокола. Вторая версия протокола была разработана около 16 лет назад и из-за использования устаревших алгоритмов не может считаться безопасной в современных условиях.
Два с половиной года назад в версии 0.3.2.9 пользователям была предложена третья версия протокола, отличавшаяся переходом на 56-символьные адреса, более надежной защитой от утечек данных через серверы каталогов, расширяемой модульной структурой и расширяемой модульной структурой. использование алгоритмов SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024.
Из исправленных уязвимостей упоминаются следующие:
- CVE-2021-34550: доступ к области памяти за пределами буфера, выделенного в коде, для анализа дескрипторов службы лука на основе третьей версии протокола. Злоумышленник может, разместив специально созданный дескриптор луковой службы, инициировать блокировку любого клиента, который пытается получить доступ к этой луковой службе.
- CVE-2021-34549 - возможность проведения атаки, вызывающей отказ в обслуживании реле. Злоумышленник может формировать строки с идентификаторами, вызывающими конфликты в хеш-функции, обработка которых приводит к большой нагрузке на ЦП.
- CVE-2021-34548 - ретранслятор может подделывать ячейки RELAY_END и RELAY_RESOLVED в полузакрытых потоках, что позволяет завершить поток, созданный без участия этого ретранслятора.
- TROVE-2021-004: Добавлены дополнительные проверки для обнаружения сбоев при доступе к генератору случайных чисел OpenSSL (при стандартной реализации RNG в OpenSSL такие сбои не появляются).
Из других изменений которые выделяются:
- В подсистему защиты от DoS добавлена возможность ограничивать силу клиентских подключений к реле.
- В ретрансляторах реализована публикация статистики количества луковых сервисов на основе третьей версии протокола и объема их трафика.
- Поддержка опции DirPorts была удалена из кода для реле, который не используется для этого типа узла.
Рефакторинг кода. - Подсистема защиты от DoS перенесена в диспетчер подсистем.
В конце концов если вам интересно узнать об этом больше об этой новой версии вы можете проверить подробности в по следующей ссылке.
Как получить Tor 0.4.6.5?
Чтобы получить эту новую версию, просто зайдите на официальный сайт проекта а в разделе загрузки мы можем получить исходный код для его компиляции. Вы можете получить исходный код из по следующей ссылке.
В то время как для особого случая пользователей Arch Linux мы можем получить его из репозитория AUR. Только на данный момент пакет не обновлен, вы можете следить за ним по следующей ссылке и как только он станет доступен, вы можете выполнить установку, введя следующую команду:
yay -S tor-git