För några sedan lanseringen av den nya Tor-versionen 0.4.6.5 tillkännagavs som anses vara den första stabila utgåvan av 0.4.6-grenen, som har utvecklats under de senaste fem månaderna.
Filial 0.4.6 den kommer att underhållas som en del av en regelbunden underhållscykel; Uppdateringar kommer att avbrytas 9 månader eller 3 månader efter lanseringen av 0.4.7.x-grenen, förutom att fortsätta tillhandahålla Long Cycle Support (LTS) för 0.3.5-grenen, med uppdateringar som släpps till 1 januari februari 2022 .
Samtidigt bildades Tor-versionerna 0.3.5.15, 0.4.4.9 och 0.4.5.9, som fixade DoS-sårbarheter som kunde orsaka en denial of service till onion- och relätjänstklienter.
De viktigaste nya funktionerna i Tor 0.4.6.5
I den här nya versionen lade till möjligheten att skapa "löktjänster" baserat på den tredje versionen av protokollet med klientåtkomstautentisering via filer i katalogen 'authorized_clients'.
Förutom det också förutsatt möjlighet att skicka överbelastningsinformation i extrainfodata som kan användas för att balansera belastningen på nätverket. Överföringsmåttet styrs av alternativet OverloadStatistics i torrc.
Vi kan också upptäcka att en flagga har lagts till för reläer som gör att nodoperatören förstår att reläet inte ingår i konsensus när servrar väljer kataloger (till exempel när det finns för många reläer på en IP-adress).
Å andra sidan nämns det tog bort stöd för äldre lökbaserade tjänster i den andra versionen av protokollet, som förklarades föråldrat för ett år sedan. Fullständig borttagning av koden som är kopplad till den andra versionen av protokollet förväntas under hösten. Den andra versionen av protokollet utvecklades för cirka 16 år sedan, och på grund av användningen av föråldrade algoritmer kan det inte anses vara säkert under moderna förhållanden.
För två och ett halvt år sedan, i version 0.3.2.9, erbjöds den tredje versionen av protokollet till användare, känd för övergången till adresser med 56 tecken, ett mer tillförlitligt skydd mot dataläckor via katalogservrar, en utbyggbar modulstruktur och användning av SHA3, ed25519 och curve25519 algoritmer istället för SHA1, DH och RSA-1024.
Av sårbarheterna fixade följande nämns:
- CVE-2021-34550: Tillgång till ett minnesområde utanför bufferten som allokerats i kod för att analysera deskriptorer av löktjänster baserat på den tredje versionen av protokollet. En angripare kan, genom att placera en specialgjord löktjänstbeskrivning, initiera blockeringen av alla klienter som försöker komma åt denna löktjänst.
- CVE-2021-34549 – Möjlighet att utföra en attack som orsakar överbelastning av reläerna. En angripare kan bilda strängar med identifierare som orsakar hashfunktionskollisioner, vars bearbetning leder till hög CPU-belastning.
- CVE-2021-34548 – Ett relä kan förfalska cellerna RELAY_END och RELAY_RESOLVED i halvslutna strömmar, vilket gör att en ström som skapades utan inblandning av detta relä kan avslutas.
- TROVE-2021-004 – Lade till ytterligare kontroller för fel vid åtkomst till OpenSSL RNG (med standard-RNG-implementeringen i OpenSSL, sådana fel visas inte).
Av de andra förändringarna som sticker ut:
- Möjligheten att begränsa styrkan på klientanslutningar till reläer har lagts till i DoS-skyddsundersystemet.
- I reläer implementeras publiceringen av statistik om antalet löktjänster baserat på den tredje versionen av protokollet och volymen på deras trafik.
- Tog bort stödet för alternativet DirPorts från koden för reläer, som inte används för den här typen av noder.
Kodrefaktorering. - DoS-skyddsundersystemet har flyttats till undersystemhanteraren.
Slutligen om du är intresserad av att veta mer om det om den här nya versionen kan du kolla in detaljerna följande länk.
Hur får man Tor 0.4.6.5?
För att få den här nya versionen, gå bara till den officiella webbplatsen för projektet och i dess nedladdningssektion kan vi få källkoden för dess sammanställning. Du kan hämta källkoden från följande länk.
Medan vi använder Arch Linux-användare kan vi få det från AUR-förvaret. Först när paketet inte har uppdaterats kan du övervaka det från följande länk och så snart den är tillgänglig kan du utföra installationen genom att skriva följande kommando:
yay -S tor-git