Pred pár rokmi bolo ohlásené vydanie novej verzie Tor 0.4.6.5 ktoré považuje sa za prvú stabilnú verziu pobočky 0.4.6, ktorá sa vyvinula za posledných päť mesiacov.
Pobočka 0.4.6 bude sa udržiavať ako súčasť cyklu pravidelnej údržby; Aktualizácie budú ukončené 9 mesiacov alebo 3 mesiace po vydaní pobočky 0.4.7.x, okrem toho, že bude naďalej poskytovaný dlhý podporný cyklus (LTS) pre pobočku 0.3.5, ktorej aktualizácie budú vydávané do 1. Február 2022.
Zároveň boli sformované verzie Tor 0.3.5.15, 0.4.4.9 a 0.4.5.9, ktoré opravili chyby zabezpečenia DoS, ktoré mohli klientom služieb Onion and Relay spôsobiť odmietnutie služby.
Hlavné nové funkcie Tor 0.4.6.5
V tejto novej verzii pridaná možnosť vytvárať „cibuľové služby“ na základe tretej verzie protokolu s autentifikáciou prístupu klienta prostredníctvom súborov v adresári „authorized_clients“.
Okrem toho tiež bola poskytnutá schopnosť odovzdávať informácie o preťažení v dátach extrainfo pomocou ktorého je možné vyvážiť zaťaženie siete. Metrický prenos je riadený voľbou OverloadStatistics v torrc.
Môžeme tiež zistiť, že pre relé bol pridaný príznak, ktorý umožňuje operátorovi uzla pochopiť, že relé nie je zahrnuté v konsenze, keď servery vyberajú adresáre (napríklad keď je na jednej adrese IP príliš veľa relé).
Na druhej strane sa uvádza, že podpora starších služieb cibule založená na V druhej verzii protokolu, ktorý bol pred rokom vyhlásený za zastaraný. Úplné odstránenie kódu spojeného s druhou verziou protokolu sa očakáva na jeseň. Druhá verzia protokolu bola vyvinutá asi pred 16 rokmi a vzhľadom na použitie zastaraných algoritmov ju nemožno v moderných podmienkach považovať za bezpečnú.
Pred dva a pol rokom, vo verzii 0.3.2.9, bola používateľom ponúknutá tretia verzia protokolu, ktorá sa vyznačuje prechodom na 56-znakové adresy, spoľahlivejšou ochranou proti úniku údajov prostredníctvom adresárových serverov, rozšíriteľnou modulárnou štruktúrou a použitie algoritmov SHA3, ed25519 a curve25519 namiesto SHA1, DH a RSA-1024.
Zo zraniteľnosti opravené uvádzajú sa tieto:
- CVE-2021-34550: prístup do oblasti pamäte mimo medzipamäte pridelenej v kóde na analýzu deskriptorov služieb cibule na základe tretej verzie protokolu. Útočník môže umiestnením špeciálne vytvoreného deskriptora služby cibule spustiť blokovanie ľubovoľného klienta, ktorý sa pokúsi získať prístup k tejto službe cibule.
- CVE-2021-34549 - Schopnosť uskutočniť útok, ktorý spôsobí odmietnutie služby relé. Útočník môže vytvoriť reťazce s identifikátormi, ktoré spôsobujú kolízie vo funkcii hash, ktorých spracovanie vedie k veľkej záťaži CPU.
- CVE-2021-34548 - Relé mohlo spoofovať bunky RELAY_END a RELAY_RESOLVED v polouzavretých tokoch, čo umožňuje ukončiť tok, ktorý bol vytvorený bez zapojenia tohto relé.
- TROVE-2021-004: Pridané ďalšie kontroly na zisťovanie porúch pri prístupe k generátoru náhodných čísel OpenSSL (pri štandardnej implementácii RNG v OpenSSL sa tieto poruchy nezobrazia).
Z ďalších zmien ktoré vynikajú:
- Do subsystému ochrany DoS bola pridaná schopnosť obmedziť silu pripojenia klientov na relé.
- V relé je zverejňovanie štatistík o počte služieb cibule implementované na základe tretej verzie protokolu a objemu ich prenosu.
- Podpora možnosti DirPorts bola odstránená z kódu pre relé, ktorý sa pre tento typ uzla nepoužíva.
Refaktorovanie kódu. - Subsystém ochrany DoS bol presunutý do správcu subsystému.
Konečne ak máte záujem dozvedieť sa o tom viac o tejto novej verzii si môžete pozrieť podrobnosti v nasledujúci odkaz.
Ako získať Tor 0.4.6.5?
Ak chcete získať túto novú verziu, stačí ísť na oficiálnu webovú stránku projektu a v jeho sekcii na stiahnutie môžeme získať zdrojový kód na jeho kompiláciu. Zdrojový kód môžete získať z nasledujúci odkaz.
Zatiaľ čo pre špeciálny prípad používateľov Arch Linuxu ho môžeme získať z úložiska AUR. Iba v okamihu, keď balík nebol aktualizovaný, môžete ho sledovať z nasledujúceho odkazu a hneď ako bude k dispozícii, môžete nainštalovať zadaním nasledujúceho príkazu:
yay -S tor-git