выпуск інструментара , які выкарыстоўваецца для арганізацыі працы ананімнай сеткі Tor. Tor 0.4.2.5 прызнаны першым стабільным выпускам галіны 0.4.2, якая развівалася апошнія чатыры месяцы. Адначасова прапанаваны абнаўленні для старых галінак 0.4.1.7, 0.4.0.6 і 0.3.5.9. Ветка 0.4.2 будзе суправаджацца ў рамках штатнага цыкла суправаджэння - выпуск абнаўленняў будзе спынены праз 9 месяцаў або праз 3 месяцы пасля рэлізу галінкі 0.4.3.x. Працяглы цыкл падтрымкі (LTS) забяспечаны для галінкі 0.3.5, абнаўленні для якой будуць выпускацца да 1 лютага 2022 года. Падтрымка галінак 0.4.0.x і 0.2.9.x будзе спынена ў пачатку наступнага года.
Асноўныя навіны:
- На серверах каталогаў уключана падлучэнні вузлоў, на якіх выкарыстоўваюцца састарэлыя выпускі Tor, падтрымка якіх спынена (будуць заблакаваныя ўсе вузлы, на якіх не выкарыстоўваюцца актуальныя галінкі 0.2.9, 0.3.5, 0.4.0, 0.4.1 і 0.4.2). Блакаванне дазволіць па меры спынення падтрымкі чарговых галінак аўтаматычна выключаць з сеткі вузлы, якія своечасова не перайшлі на актуальнае праграмнае забеспячэнне.
Наяўнасць у сетцы вузлоў з састарэлым праграмным забеспячэннем негатыўна адбіваецца на стабільнасці і стварае дадатковыя рызыкі парушэння бяспекі. Калі адміністратар не сочыць за абнаўленнем Tor, то, верагодна, ён нядбайна ставіцца да абнаўлення сістэмы і іншых серверных прыкладанняў, што павялічвае рызыку захопу кантролю над вузлом у выніку мэтавых нападаў. Наяўнасць вузлоў з ужо непадтрымліваемымі выпускамі таксама перашкаджае выпраўленню важных памылак, перашкаджае распаўсюджванню новых магчымасцей пратакола і зніжае эфектыўнасць работы сеткі. Аператары састарэлых сістэм былі апавешчаныя аб планаваным блакіроўцы яшчэ ў верасні.
- Для схаваных сэрвісаў сродкі для абароны ад DoS-нападаў. Кропкі выбару злучэння (intro points) зараз могуць абмяжоўваць інтэнсіўнасць запытаў ад кліента, выкарыстаючы параметры, адпраўленыя ўтоеным сэрвісам у вочку ESTABLISH_INTRO. Калі новае пашырэнне не выкарыстоўваецца ўтоеным сэрвісам, то кропка выбару злучэння будзе кіравацца параметрамі дасягнення кансэнсусу.
- У кропках выбару злучэння забаронена падлучэнне кліентаў прамога пракіду (single-hop), якія выкарыстоўваліся для працы сэрвісу Tor2web, падтрымка якога даўно спынена. Блакаванне дазволіць знізіць нагрузку на сетку ад кліентаў-спамераў.
- Для схаваных сэрвісаў рэалізаваны агульны набор токенаў (generic token bucket), які выкарыстоўвае адзіны лічыльнік, які можа прымяняцца для барацьбы з DoS-атакамі.
- Рэжым "BEST" у камандзе ADD_ONION зараз па змаўчанні ўжывае сэрвісы ED25519-V3 (v3) замест RSA1024 (v2).
- У код наладкі дададзена магчымасць падзелу дадзеных канфігурацыі паміж некалькімі аб'ектамі.
- Праведзена значная чыстка кода.
Крыніца: opennet.ru