Пре мало најављено је издање нове верзије Тор 0.4.6.5 која сматра се првом стабилном верзијом гране 0.4.6, која је еволуирала током последњих пет месеци.
Подружница 0.4.6 одржаваће се као део редовног циклуса одржавања; Ажурирања ће се прекинути 9 месеци или 3 месеца након објављивања огранка 0.4.7.к, уз наставак пружања дугог циклуса подршке (ЛТС) за огранак 0.3.5, чија ће ажурирања бити објављена до 1. Фебруара 2022.
Истовремено су формиране Тор верзије 0.3.5.15, 0.4.4.9 и 0.4.5.9, које су отклониле ДоС рањивости које могу проузроковати ускраћивање услуге клијентима услуге Онион и Релаи.
Главне нове карактеристике Тор 0.4.6.5
У овој новој верзији додао могућност стварања „услуга лука“ на основу треће верзије протокола са аутентификацијом приступа клијента кроз датотеке у директоријуму 'одобрени_клијенти'.
Поред тога такође дата је могућност преношења информација о загушењу у екстраинфо податке који се могу користити за уравнотежење оптерећења на мрежи. Пренос метрике контролише опција ОверлоадСтатистицс у торрц-у.
Такође можемо открити да је за релеје додата заставица која омогућава оператеру чвора да схвати да тај релеј није укључен у консензус када сервери бирају директоријуме (на пример, када има превише релеја на једној ИП адреси).
С друге стране се помиње да подршка старијим услугама лука на основу У другој верзији протокола, који је пре годину дана проглашен застарелим. Потпуно уклањање кода повезаног са другом верзијом протокола очекује се на јесен. Друга верзија протокола развијена је пре око 16 година и због употребе застарелих алгоритама не може се сматрати сигурном у савременим условима.
Пре две и по године, у верзији 0.3.2.9, корисницима је понуђена трећа верзија протокола, значајна по преласку на адресе од 56 знакова, поузданија заштита од цурења података кроз сервере директоријума, проширива модуларна структура и употреба алгоритама СХА3, ед25519 и кривуља25519 уместо СХА1, ДХ и РСА-1024.
Од рањивости отклоњене помињу се:
- ЦВЕ-2021-34550: приступ меморијској области изван бафера додељеног у коду за рашчлањивање дескриптора услуге лука на основу треће верзије протокола. Нападач може, постављањем посебно израђеног дескриптора услуге лука, иницирати блокирање било ког клијента који покуша да приступи овој услузи лука.
- ЦВЕ-2021-34549 - Способност извођења напада који узрокује ускраћивање услуге релеја. Нападач може формирати низове са идентификаторима који изазивају колизије у хеш функцији, чија обрада доводи до великог оптерећења на ЦПУ.
- ЦВЕ-2021-34548 - Релеј би могао да лажира РЕЛАИ_ЕНД и РЕЛАИ_РЕСОЛВЕД ћелије у полузатвореним токовима, омогућавајући да прекине ток који је створен без укључивања овог релеја.
- ТРОВЕ-2021-004: Додате су додатне провере за откривање грешака приликом приступа ОпенССЛ генератору случајних бројева (са подразумеваном имплементацијом РНГ у ОпенССЛ, такви се кварови не појављују).
Од осталих промена који се истичу:
- Могућност ограничавања снаге веза клијента са релејима додата је у подсистем ДоС заштите.
- У релејима се објављивање статистичких података о броју услуга лука спроводи на основу треће верзије протокола и обима њиховог промета.
- Подршка за опцију ДирПортс уклоњена је из кода за релеје, који се не користи за ову врсту чвора.
Рефакторирање кода. - Подсистем ДоС заштите премештен је у управитеља подсистема.
Коначно ако сте заинтересовани да сазнате више о томе о овој новој верзији, детаље можете погледати у следећи линк.
Како доћи до Тор 0.4.6.5?
Да бисте добили ову нову верзију, само идите на званичну веб страницу пројекта а у његовом одељку за преузимање можемо добити изворни код за његову компилацију. Изворни код можете добити из следећи линк.
Док за посебан случај корисника Арцх Линук-а можемо то добити из АУР спремишта. Само у тренутку када пакет није ажуриран, можете га надгледати са следећег линка и чим постане доступан, можете га инсталирати тако што ћете откуцати следећу команду:
yay -S tor-git