Pred nekaj leti napovedana je bila izdaja nove različice Tor 0.4.6.5 ki velja za prvo stabilno različico podružnice 0.4.6, ki se je razvil v zadnjih petih mesecih.
Podružnica 0.4.6 bo vzdrževan kot del rednega vzdrževalnega cikla; Posodobitve bodo ukinjene 9 mesecev ali 3 mesece po izdaji podružnice 0.4.7.x, poleg tega pa bodo še naprej zagotavljale dolg podporni cikel (LTS) za podružnico 0.3.5, katere posodobitve bodo objavljene do 1. Februarja 2022.
Hkrati so nastale različice Tor 0.3.5.15, 0.4.4.9 in 0.4.5.9, ki so odpravile ranljivosti DoS, ki bi lahko povzročile zavrnitev storitve odjemalcem storitev Onion in Relay.
Glavne novosti Tor 0.4.6.5
V tej novi različici dodal možnost ustvarjanja "storitev čebule", ki temelji na tretji različici protokola z overitvijo dostopa odjemalca prek datotek v imeniku 'pooblaščeni_klijenti'.
Poleg tega tudi zagotovljena je bila zmožnost posredovanja informacij o zastojih v ekstrainfo podatkih ki se lahko uporablja za uravnoteženje obremenitve omrežja. Prenos metrike nadzoruje možnost OverloadStatistics v torrcu.
Ugotovimo lahko tudi, da je bila za releje dodana zastavica, ki operaterju vozlišča omogoča, da razume, da rele ni vključen v konsenz, ko strežniki izberejo imenike (na primer, če je na enem naslovu IP preveč relejev).
Po drugi strani je omenjeno, da podpora za starejše storitve na osnovi čebule je bila odstranjena V drugi različici protokola, ki je bila pred letom dni razglašena za zastarelo. Popolna odstranitev kode, povezane z drugo različico protokola, se pričakuje jeseni. Druga različica protokola je bila razvita pred približno 16 leti in je zaradi uporabe zastarelih algoritmov v sodobnih pogojih ne moremo šteti za varno.
Pred dvema letoma in pol je bila v različici 0.3.2.9 uporabnikom ponujena tretja različica protokola, ki je znana po prehodu na 56-mestne naslove, zanesljivejši zaščiti pred uhajanjem podatkov prek imeniških strežnikov, razširljivi modularni strukturi in uporaba algoritmov SHA3, ed25519 in krivulja25519 namesto SHA1, DH in RSA-1024.
Odpravljene ranljivosti omenjeni so:
- CVE-2021-34550: dostop do pomnilniškega območja zunaj vmesnega pomnilnika, dodeljenega v kodi za razčlenitev deskriptorjev čebulnih storitev na podlagi tretje različice protokola. Napadalec lahko s postavitvijo posebej izdelanega deskriptorja storitve čebule sproži blokiranje katere koli stranke, ki poskuša dostopati do te storitve čebule.
- CVE-2021-34549 - Sposobnost napada, ki povzroči zavrnitev storitve relejev. Napadalec lahko oblikuje nize z identifikatorji, ki povzročajo trke v zgoščevalni funkciji, katere obdelava vodi do velike obremenitve CPU.
- CVE-2021-34548 - Rele lahko prevara RELAY_END in RELAY_RESOLVED celice v polzaprtih tokovih, kar omogoča zaključek pretoka, ki je bil ustvarjen brez sodelovanja tega releja.
- TROVE-2021-004: dodani dodatni pregledi za odkrivanje napak pri dostopu do generatorja naključnih števil OpenSSL (pri privzeti izvedbi RNG v OpenSSL se takšne napake ne pojavijo).
Od ostalih sprememb ki izstopajo:
- Zmožnost omejevanja moči odjemalskih povezav na releje je dodana zaščitnemu podsistemu DoS.
- V relejih se objava statističnih podatkov o številu storitev čebule izvaja na podlagi tretje različice protokola in obsega njihovega prometa.
- Podpora za možnost DirPorts je bila odstranjena iz kode za releje, ki se ne uporablja za to vrsto vozlišča.
Refaktoriranje kode. - Podsistem zaščite DoS je bil premaknjen k upravitelju podsistema.
Končno če vas zanima več o tem o tej novi različici lahko podrobnosti preverite v naslednjo povezavo.
Kako priti do Tor 0.4.6.5?
Da bi dobili to novo različico, pojdite na uradno spletno stran projekta in v razdelku za prenos lahko dobimo izvorno kodo za njegovo prevajanje. Izvorno kodo lahko dobite v naslednja povezava.
Medtem ko ga lahko za poseben primer uporabnikov Arch Linuxa dobimo v repozitoriju AUR. Samo v trenutku, ko paket ni posodobljen, ga lahko spremljate na naslednji povezavi in takoj, ko je na voljo, lahko namestitev izvedete tako, da vnesete naslednji ukaz:
yay -S tor-git