Cách đây vài việc phát hành phiên bản Tor mới 0.4.6.5 đã được công bố cái nào nó được coi là phiên bản ổn định đầu tiên của nhánh 0.4.6, đã phát triển trong năm tháng qua.
Chi nhánh 0.4.6 nó sẽ được duy trì như một phần của chu kỳ bảo trì thường xuyên; Các bản cập nhật sẽ bị dừng sau 9 tháng hoặc 3 tháng sau bản phát hành nhánh 0.4.7.x, ngoài việc tiếp tục cung cấp chu kỳ hỗ trợ dài (LTS) cho nhánh 0.3.5, các bản cập nhật sẽ được phát hành cho đến ngày 1 tháng 2022 năm XNUMX .
Đồng thời, các phiên bản Tor 0.3.5.15, 0.4.4.9 và 0.4.5.9 đã được hình thành để sửa các lỗ hổng DoS có thể gây từ chối dịch vụ cho các máy khách dịch vụ Onion và Relay.
Các tính năng mới chính của Tor 0.4.6.5
Trong phiên bản mới này đã thêm khả năng tạo "dịch vụ củ hành" dựa trên phiên bản thứ ba của giao thức với xác thực quyền truy cập máy khách thông qua các tệp trong thư mục 'allow_clients'.
Bên cạnh đó cũng khả năng chuyển thông tin tắc nghẽn trong dữ liệu extrainfo đã được cung cấp có thể được sử dụng để cân bằng tải trên mạng. Truyền số liệu được kiểm soát bởi tùy chọn OverloadSt Statistics trong torrc.
Chúng tôi cũng có thể thấy rằng một cờ đã được thêm vào các rơle cho phép người điều hành nút hiểu rằng rơle không được bao gồm trong sự đồng thuận khi máy chủ chọn thư mục (ví dụ: khi có quá nhiều rơle trong một địa chỉ IP).
Mặt khác, nó được đề cập rằng hỗ trợ cho các dịch vụ hành cũ dựa trên Trong phiên bản thứ hai của giao thức, đã được tuyên bố là lỗi thời một năm trước. Dự kiến sẽ xóa hoàn toàn mã liên quan đến phiên bản thứ hai của giao thức vào mùa thu. Phiên bản thứ hai của giao thức đã được phát triển khoảng 16 năm trước, và do sử dụng các thuật toán lỗi thời, nó không thể được coi là an toàn trong các điều kiện hiện đại.
Hai năm rưỡi trước, trong phiên bản 0.3.2.9, phiên bản thứ ba của giao thức đã được cung cấp cho người dùng, đáng chú ý là sự chuyển đổi sang địa chỉ 56 ký tự, bảo vệ đáng tin cậy hơn chống lại rò rỉ dữ liệu thông qua các máy chủ thư mục, cấu trúc mô-đun có thể mở rộng và sử dụng các thuật toán SHA3, ed25519 và curve25519 thay vì SHA1, DH và RSA-1024.
Trong số các lỗ hổng đã được khắc phục những điều sau được đề cập:
- CVE-2021-34550: truy cập vào vùng bộ nhớ bên ngoài bộ đệm được phân bổ trong mã để phân tích cú pháp các bộ mô tả dịch vụ hành dựa trên phiên bản thứ ba của giao thức. Kẻ tấn công có thể, bằng cách đặt một bộ mô tả dịch vụ hành tây được chế tạo đặc biệt, bắt đầu chặn bất kỳ khách hàng nào cố gắng truy cập dịch vụ hành tây này.
- CVE-2021-34549 - Có khả năng thực hiện một cuộc tấn công gây từ chối dịch vụ của các rơle. Kẻ tấn công có thể tạo các chuỗi với các số nhận dạng gây ra xung đột trong hàm băm, quá trình xử lý dẫn đến tải trọng lớn trên CPU.
- CVE-2021-34548 - Một rơ le có thể giả mạo các ô RELAY_END và RELAY_RESOLVED trong các dòng nửa kín, cho phép kết thúc một dòng được tạo mà không có sự tham gia của rơ le này.
- TROVE-2021-004: Đã thêm các kiểm tra bổ sung để phát hiện các lỗi khi truy cập trình tạo số ngẫu nhiên OpenSSL (với việc triển khai mặc định RNG trong OpenSSL, các lỗi như vậy không xuất hiện).
Những thay đổi khác nổi bật:
- Khả năng giới hạn độ mạnh của kết nối máy khách với rơle đã được thêm vào hệ thống con bảo vệ DoS.
- Trong rơle, việc công bố thống kê về số lượng dịch vụ hành được thực hiện dựa trên phiên bản thứ ba của giao thức và khối lượng lưu lượng của chúng.
- Hỗ trợ cho tùy chọn DirPorts đã bị xóa khỏi mã cho rơle, không được sử dụng cho loại nút này.
Lập trình lại. - Hệ thống con bảo vệ DoS đã được chuyển đến trình quản lý hệ thống con.
Cuối cùng nếu bạn muốn biết thêm về nó về phiên bản mới này, bạn có thể kiểm tra chi tiết trong liên kết sau.
Làm thế nào để tải Tor 0.4.6.5?
Để có được phiên bản mới này, chỉ cần vào trang web chính thức của dự án và trong phần tải xuống của nó, chúng ta có thể lấy mã nguồn để biên dịch nó. Bạn có thể lấy mã nguồn từ liên kết theo dõi.
Trong khi đối với trường hợp đặc biệt của người dùng Arch Linux, chúng tôi có thể lấy nó từ kho lưu trữ AUR. Hiện tại gói chưa cập nhật nên các bạn theo dõi nhé từ liên kết sau và ngay khi có sẵn, bạn có thể thực hiện cài đặt bằng cách gõ lệnh sau:
yay -S tor-git