Birkaç önce yeni Tor sürüm 0.4.6.5'in piyasaya sürüldüğü açıklandı hangi 0.4.6 şubesinin ilk kararlı sürümü olarak kabul edilir, son beş ayda gelişti.
Şube 0.4.6 düzenli bir bakım döngüsünün parçası olarak bakımı yapılacaktır; 9.x şubesinin yayınlanmasından 3 ay veya 0.4.7 ay sonra güncellemeler durdurulacak, ayrıca güncellemeleri 0.3.5 tarihine kadar yayınlanacak olan 1 şubesi için uzun bir destek döngüsü (LTS) sağlamaya devam edecek. Şubat 2022.
Aynı zamanda, Onion ve Relay hizmet istemcilerine hizmet reddine neden olabilecek DoS güvenlik açıklarını gideren Tor 0.3.5.15, 0.4.4.9 ve 0.4.5.9 sürümleri oluşturuldu.
Tor 0.4.6.5'nin başlıca yeni özellikleri
Bu yeni versiyonda üçüncü sürüme dayalı olarak "soğan hizmetleri" oluşturma yeteneği eklendi 'yetkili_clients' dizinindeki dosyalar aracılığıyla istemci erişim kimlik doğrulaması ile protokolün.
Bunun yanında ayrıca extrainfo verilerinde tıkanıklık bilgilerinin iletilebilmesi sağlandı ağdaki yükü dengelemek için kullanılabilir. Metrik transferi, torc'daki OverloadStatistics seçeneği tarafından kontrol edilir.
Ayrıca, sunucular dizin seçtiğinde (örneğin, bir IP adresinde çok fazla röle olduğunda) düğüm operatörünün rölenin fikir birliğine dahil olmadığını anlamasını sağlayan röleler için bir bayrak eklendiğini görebiliriz.
Öte yandan bahsediliyor eski soğan tabanlı hizmetler için destek kaldırıldı Bir yıl önce geçersiz ilan edilen protokolün ikinci versiyonunda. Sonbaharda, protokolün ikinci sürümüyle ilişkili kodun tamamen kaldırılması bekleniyor. Protokolün ikinci versiyonu yaklaşık 16 yıl önce geliştirildi ve eski algoritmaların kullanılması nedeniyle modern koşullarda güvenli kabul edilemez.
İki buçuk yıl önce, 0.3.2.9 sürümünde, 56 karakterlik adreslere geçiş, dizin sunucuları üzerinden veri sızıntılarına karşı daha güvenilir koruma, genişletilebilir modüler yapı ve kullanım kolaylığı ile dikkat çeken protokolün üçüncü sürümü kullanıcılara sunuldu. SHA3, DH ve RSA-25519 yerine SHA25519, ed1 ve eğri1024 algoritmalarının kullanılması.
Düzeltilen güvenlik açıklarından aşağıdakilerden bahsedilmektedir:
- CVE-2021-34550: protokolün üçüncü sürümüne dayalı olarak soğan hizmeti tanımlayıcılarını ayrıştırmak için kodda ayrılan arabellek dışında bir bellek alanına erişim. Saldırgan, özel hazırlanmış bir soğan hizmeti tanımlayıcısı yerleştirerek, bu soğan hizmetine erişmeye çalışan herhangi bir istemcinin engellenmesini başlatabilir.
- CVE-2021-34549 - Rölelerin hizmet reddine neden olan bir saldırı gerçekleştirme yeteneği. Saldırgan, hash işlevinde çarpışmalara neden olan tanımlayıcılara sahip dizeler oluşturabilir ve bunların işlenmesi CPU üzerinde büyük bir yüke yol açar.
- CVE-2021-34548 - Bir röle, yarı kapalı akışlarda RELAY_END ve RELAY_RESOLVED hücrelerini taklit ederek, bu rölenin katılımı olmadan oluşturulan bir akışın sonlandırılmasına izin verebilir.
- TROVE-2021-004: OpenSSL rasgele sayı üretecine erişirken hataları tespit etmek için ek kontroller eklendi (OpenSSL'de varsayılan RNG uygulamasıyla bu tür hatalar görünmüyor).
Diğer değişikliklerden göze çarpan:
- DoS koruma alt sistemine istemci bağlantılarının gücünü rölelere sınırlama yeteneği eklendi.
- Rölelerde, soğan hizmetlerinin sayısına ilişkin istatistiklerin yayınlanması, protokolün üçüncü versiyonuna ve trafik hacmine göre gerçekleştirilir.
- DirPorts seçeneği desteği, bu tür düğüm için kullanılmayan röle kodundan kaldırılmıştır.
Yeniden yapılandırılan kod. - DoS koruma alt sistemi, alt sistem yöneticisine taşındı.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsan bu yeni sürüm hakkında ayrıntıları kontrol edebilirsiniz aşağıdaki bağlantı.
Tor 0.4.6.5 nasıl edinilir?
Bu yeni sürümü almak için, sadece projenin resmi web sitesine git ve indirme bölümünde derlenmesi için kaynak kodunu elde edebiliriz. Kaynak kodunu şuradan alabilirsiniz: aşağıdaki bağlantı.
Arch Linux kullanıcılarının özel durumu içinse, bunu AUR deposundan edinebiliriz. Sadece paketin güncellenmediği anda onu izleyebilirsiniz. aşağıdaki bağlantıdan ve mevcut olduğu anda aşağıdaki komutu yazarak kurabilirsiniz:
yay -S tor-git