Bylo představeno vydání sady nástrojů Tor 0.4.6.5, která se používá k organizaci provozu anonymní sítě Tor. Verze Tor 0.4.6.5 je uznávána jako první stabilní vydání větve 0.4.6, která byla ve vývoji posledních pět měsíců. Větev 0.4.6 bude udržována v rámci pravidelného cyklu údržby – aktualizace budou ukončeny po 9 měsících nebo 3 měsících po vydání větve 0.4.7.x. Pro větev 0.3.5 je poskytována dlouhodobá podpora (LTS), jejíž aktualizace budou vydány do 1. února 2022. Současně byly vytvořeny verze Tor 0.3.5.15, 0.4.4.9 a 0.4.5.9, které eliminovaly zranitelnosti DoS, které by mohly způsobit odmítnutí služby klientům služeb cibule a relé.
Hlavní změny:
- Přidána možnost vytvářet onion služby založené na třetí verzi protokolu s autentizací klientského přístupu prostřednictvím souborů v adresáři 'authorized_clients'.
- Pro přenosy byl přidán příznak, který umožňuje operátorovi uzlu pochopit, že přenos není zahrnut do konsensu, když servery vybírají adresáře (například když je na jedné IP adrese příliš mnoho přenosů).
- Je možné přenášet informace o zahlcení v extrainfo datech, které lze použít pro vyrovnávání zátěže v síti. Metrický přenos je řízen pomocí možnosti OverloadStatistics v torrc.
- Do subsystému ochrany před útoky DoS byla přidána možnost omezit intenzitu připojení klientů k relé.
- Relé implementují zveřejňování statistik o počtu cibulových služeb na základě třetí verze protokolu a objemu jejich provozu.
- Podpora pro možnost DirPorts byla odebrána z kódu přenosu, který se pro tento typ uzlu nepoužívá.
- Kód byl refaktorován. Subsystém ochrany před útoky DoS byl přesunut do správce subsys.
- Podpora starých cibulových služeb založených na druhé verzi protokolu, která byla před rokem prohlášena za zastaralou, byla ukončena. Kompletní odstranění kódu spojeného s druhou verzí protokolu se očekává na podzim. Druhá verze protokolu byla vyvinuta asi před 16 lety a vzhledem k použití zastaralých algoritmů ji nelze v moderních podmínkách považovat za bezpečnou. Před dvěma a půl lety, ve verzi 0.3.2.9, byla uživatelům nabídnuta třetí verze protokolu pro cibulové služby, pozoruhodná přechodem na 56znakové adresy, spolehlivější ochranou proti úniku dat přes adresářové servery, rozšiřitelná modulární struktura a použití algoritmů SHA3, ed25519 a curve25519 namísto SHA1, DH a RSA-1024.
- Opravené chyby zabezpečení:
- CVE-2021-34550 – přístup do paměťové oblasti mimo přidělenou vyrovnávací paměť v kódu pro analýzu deskriptorů onion service na základě třetí verze protokolu. Útočník může umístěním speciálně navrženého deskriptoru onion služby způsobit pád jakéhokoli klienta, který se pokouší o přístup k této onion službě.
- CVE-2021-34549 - Možný útok odmítnutí služby na relé. Útočník může vytvářet řetězce s identifikátory, které způsobují kolize v hašovacích funkcích, jejichž zpracování má za následek velké zatížení CPU.
- CVE-2021-34548 – Relé mohlo podvrhnout buňky RELAY_END a RELAY_RESOLVED v napůl uzavřených vláknech, což umožnilo ukončení vlákna, které bylo vytvořeno bez účasti tohoto relé.
- TROVE-2021-004 - Přidány další kontroly selhání při volání generátoru náhodných čísel OpenSSL (při výchozí implementaci RNG v OpenSSL k takovým selháním nedochází).
Zdroj: opennet.ru