Tor 0.4.6.5, Tor sare anonimoa funtzionarazteko erabiltzen den tresna-sorta, kaleratu da. Tor 0.4.6.5 0.4.6 adarraren lehen bertsio egonkorra da, azken bost hilabeteetan garatzen egon dena. 0.4.6 adarra mantentze-ziklo estandarraren barruan mantenduko da; eguneraketak bederatzi hilabete igaro ondoren edo 0.4.7.x adarraren kaleratzeari utziko diote. Epe luzeko laguntza-ziklo (LTS) bat eskaintzen da 0.3.5 adarrarentzat, eta horretarako eguneraketak 2022ko otsailaren 1era arte kaleratuko dira. Aldi berean, Tor 0.3.5.15, 0.4.4.9 eta 0.4.5.9 kaleratu ziren, onion zerbitzuko bezeroei eta erreleei zerbitzu-ukapena eragin zezaketen DoS ahultasunak konponduz.
Aldaketa nagusiak:
- Protokoloaren hirugarren bertsioan oinarritutako tipula zerbitzuak sortzeko gaitasuna gehitu da, 'authorized_clients' direktorioko fitxategien bidezko bezero sarbide autentifikazioarekin.
- Bandera bat gehitu da erreleboetarako, nodoaren operadoreari jakinarazteko erreleboa ez dagoela adostasunean sartuta hauteskunde prozesuan. zerbitzariak direktorioak (adibidez, IP helbide berean errele gehiegi daudenean).
- Gehiegizko informazioa extrainfo datuetan transmititzeko gaitasuna inplementatu da, sareko karga orekatzeko erabil daitekeena. Metrika hau torrc-eko OverloadStatistics aukera erabiliz kontrolatzen da.
- DoS erasoen aurkako babes-azpisistema eguneratu da erreleetara bezeroen konexioen intentsitatea mugatzeko gaitasuna sartzeko.
- Erreleboek protokoloaren hirugarren bertsioan exekutatzen diren tipula zerbitzuen kopuruari eta haien trafiko-bolumenari buruzko estatistikak argitaratzen dituzte orain.
- DirPorts aukeraren euskarria errelebo-kodetik kendu da, nodo mota honetarako ez baita erabiltzen.
- Kodea berregituratu da. DoS babes azpisistema azpisistema kudeatzailera mugitu da.
- Duela urtebete zaharkituta geratu zen protokoloaren bigarren bertsioan oinarritutako onion zerbitzu zaharren laguntza eten egin da. Protokoloaren bigarren bertsioarekin lotutako kodea erabat kentzea espero da udazken honetan. Protokoloaren bigarren bertsioa duela 16 urte inguru garatu zen eta, algoritmo zaharkituak erabiltzeagatik, ezin da segurutzat jo egungo baldintzetan. Duela bi urte eta erdi, 0.3.2.9 bertsioarekin, erabiltzaileei onion zerbitzuetarako protokoloaren hirugarren bertsioa eskaini zitzaien, 56 karaktereko helbideetarako trantsizioagatik eta datu-ihesen aurkako babes fidagarriagoagatik nabarmentzen dena. zerbitzariak direktorioak, egitura modular hedagarria eta SHA3, ed25519 eta curve25519 algoritmoen erabilera SHA1, DH eta RSA-1024-ren ordez.
- Ahuleziak konponduta:
- CVE-2021-34550 — Protokoloaren hirugarren bertsioan oinarritutako onion zerbitzu deskriptoreak analizatzeko erabiltzen den kodean, memoria sarbide mugaz kanpoko ahultasun bat dago. Onion zerbitzu deskriptore berezi bat jarriz, erasotzaile batek onion zerbitzu horretara sartzen saiatzen den edozein bezeroren kraskadura eragin dezake.
- CVE-2021-34549 – Erreleboen aurkako zerbitzu ukazio eraso bat posible da. Erasotzaile batek identifikatzaile kateak sor ditzake, hash funtzioan talkak eraginez, eta horrek prozesatzean CPU karga handia eragin dezake.
- CVE-2021-34548 — Errelebo batek RELAY_END eta RELAY_RESOLVED gelaxkak imita ditzake erdi itxitako jarioetan, erreleboak sortu ez duen jario bat amaitzeko aukera emanez.
- TROVE-2021-004 - OpenSSL ausazko zenbakien sorgailura sartzean hutsegiteak egiaztatzeko egiaztapen gehigarriak gehitu dira (hutsegite horiek ez dira OpenSSL RNG inplementazio lehenetsiarekin gertatzen).
Iturria: opennet.ru
