Die vrystelling van die Tor 0.4.6.5 toolkit, wat gebruik word om die werking van die anonieme Tor-netwerk te organiseer, is aangebied. Tor-weergawe 0.4.6.5 word erken as die eerste stabiele vrystelling van die 0.4.6-tak, wat die afgelope vyf maande in ontwikkeling is. Die 0.4.6-tak sal in stand gehou word as deel van die gereelde instandhoudingsiklus - opdaterings sal gestaak word na 9 maande of 3 maande na die vrystelling van die 0.4.7.x-tak. Langtermyn-ondersteuning (LTS) word verskaf vir die 0.3.5-tak, waarvan opdaterings tot 1 Februarie 2022 vrygestel sal word. Terselfdertyd is Tor-vrystellings 0.3.5.15, 0.4.4.9 en 0.4.5.9 gevorm, wat DoS-kwesbaarhede uitgeskakel het wat 'n ontkenning van diens aan kliënte van uiedienste en aflos kan veroorsaak.
Belangrikste veranderinge:
- Bygevoeg die vermoë om uie dienste te skep gebaseer op die derde weergawe van die protokol met verifikasie van kliënt toegang deur lêers in die 'authorized_clients' gids.
- Vir aflos is 'n vlag bygevoeg wat die nodusoperateur toelaat om te verstaan dat die aflos nie by die konsensus ingesluit is wanneer bedieners gidse kies nie (byvoorbeeld wanneer daar te veel aflos op een IP-adres is).
- Dit is moontlik om opeenhopingsinligting in ekstra-inligting-data oor te dra, wat gebruik kan word vir lasbalansering in die netwerk. Metrieke transmissie word beheer deur die opsie OverloadStatistics in torrc te gebruik.
- Die vermoë om die intensiteit van kliëntverbindings met relais te beperk, is by die DoS-aanvalbeskermingsubstelsel gevoeg.
- Relays implementeer die publikasie van statistieke oor die aantal uiedienste gebaseer op die derde weergawe van die protokol en die volume van hul verkeer.
- Ondersteuning vir die DirPorts-opsie is van die afloskode verwyder, wat nie vir hierdie tipe nodus gebruik word nie.
- Die kode is geherfaktoreer. Die DoS-aanvalbeskermingsubstelsel is na die subsys-bestuurder geskuif.
- Ondersteuning vir ou uiedienste gebaseer op die tweede weergawe van die protokol, wat 'n jaar gelede as verouderd verklaar is, is gestaak. Die volledige verwydering van kode wat verband hou met die tweede weergawe van die protokol word in die herfs verwag. Die tweede weergawe van die protokol is sowat 16 jaar gelede ontwikkel en kan weens die gebruik van verouderde algoritmes nie in moderne toestande as veilig beskou word nie. Twee en 'n half jaar gelede, in vrystelling 0.3.2.9, is gebruikers die derde weergawe van die protokol vir uiedienste aangebied, opmerklik vir die oorgang na 56-karakteradresse, meer betroubare beskerming teen datalekkasies deur gidsbedieners, 'n uitbreidbare modulêre struktuur en die gebruik van SHA3, ed25519 en curve25519 algoritmes in plaas van SHA1, DH en RSA-1024.
- Kwesbaarhede opgelos:
- CVE-2021-34550 – toegang tot 'n geheuearea buite die toegewese buffer in die kode vir die ontleding van uiediensbeskrywers gebaseer op die derde weergawe van die protokol. 'n Aanvaller kan, deur 'n spesiaal ontwerpte uiediensbeskrywing te plaas, die ineenstorting veroorsaak van enige kliënt wat probeer om toegang tot hierdie uiediens te verkry.
- CVE-2021-34549 - 'n Moontlike ontkenningsaanval op aflos. 'n Aanvaller kan kettings vorm met identifiseerders wat botsings in hash-funksies veroorsaak, waarvan die verwerking 'n swaar las op die SVE tot gevolg het.
- CVE-2021-34548 - 'n Aflos kan spoof RELAY_END en RELAY_RESOLVED selle in half-geslote drade, wat die beëindiging van 'n draad wat geskep is sonder die deelname van hierdie aflos moontlik gemaak het.
- TROVE-2021-004 - Bykomende kontrole vir mislukkings bygevoeg wanneer die OpenSSL ewekansige nommergenerator geskakel word (met die verstek RNG-implementering in OpenSSL, kom sulke mislukkings nie voor nie).
Bron: opennet.ru