Tor 0.4.6.5 tresna-kitaren bertsioa aurkeztu da, Tor sare anonimoaren funtzionamendua antolatzeko erabiltzen dena. Tor 0.4.6.5 bertsioa 0.4.6 adarraren lehen bertsio egonkorra dela aitortzen da, azken bost hilabeteetan garapenean egon dena. 0.4.6 adarra ohiko mantentze-zikloaren zati gisa mantenduko da; eguneraketak eten egingo dira 9.x adarra kaleratu eta 3 hilabeteren buruan edo 0.4.7 hilabeteren buruan. Epe luzerako laguntza (LTS) eskaintzen da 0.3.5 adarrarentzat, eta eguneraketak 1ko otsailaren 2022era arte argitaratuko dira. Aldi berean, Tor 0.3.5.15, 0.4.4.9 eta 0.4.5.9 bertsioak eratu ziren, eta bertan tipula zerbitzuen eta erreleen bezeroei zerbitzua ukatzea eragin ziezaieketen DoS ahultasunak ezabatu ziren.
Aldaketa nagusiak:
- Gehitu da protokoloaren hirugarren bertsioan oinarritutako tipula zerbitzuak sortzeko aukera, bezeroen sarbidearen autentifikazioarekin 'authorized_clients' direktorioko fitxategien bidez.
- Erreleetarako, nodo-operadoreak zerbitzariek direktorioak hautatzen dituztenean errelea ez dela adostasunean sartzen ulertzeko aukera ematen dion bandera gehitu da (adibidez, IP helbide batean errele gehiegi daudenean).
- Estrainfo datuetan pilaketa-informazioa transmititu daiteke, sarean karga orekatzeko erabil daitekeena. Transferentzia metrikoa torrc-eko OverloadStatistics aukera erabiliz kontrolatzen da.
- Bezeroen konexioen intentsitatea erreleetara mugatzeko gaitasuna gehitu zaio DoS erasoen babeserako azpisistemari.
- Erreleek protokoloaren hirugarren bertsioan oinarritutako tipula-zerbitzuen estatistikak argitaratzen dituzte eta haien trafikoaren bolumenean.
- DirPorts aukeraren laguntza kendu egin da errele-kodetik, nodo mota honetarako erabiltzen ez dena.
- Kodea birfaktorizatu da. DoS erasoen babesaren azpisistema azpisistemaren kudeatzailera eraman da.
- Duela urtebete zaharkitu zen protokoloaren bigarren bertsioan oinarritutako tipula zerbitzu zaharrentzako laguntza eten egin da. Protokoloaren bigarren bertsioarekin lotutako kodea erabat kentzea espero da udazkenean. Protokoloaren bigarren bertsioa duela 16 urte inguru garatu zen eta, algoritmo zaharkituak erabiltzeagatik, ezin da segurutzat jo baldintza modernoetan. Duela bi urte eta erdi, 0.3.2.9 bertsioan, erabiltzaileei tipula-zerbitzuetarako protokoloaren hirugarren bertsioa eskaini zitzaien, 56 karaktereko helbideetarako trantsizioagatik, direktorio-zerbitzarien bidez datu-filtrazioen aurkako babes fidagarriagoa, egitura modular hedagarria. eta SHA3, ed25519 eta curve25519 algoritmoen erabilera SHA1, DH eta RSA-1024ren ordez.
- Ahuleziak konponduta:
- CVE-2021-34550 - protokoloaren hirugarren bertsioan oinarritutako tipula-zerbitzuen deskribatzaileak analizatzeko kodean esleitutako bufferetik kanpo dagoen memoria-eremu baterako sarbidea. Erasotzaile batek, bereziki diseinatutako onion zerbitzuaren deskribatzailea jarriz, onion zerbitzu honetara sartzen saiatzen den edozein bezeroren hutsegitea eragin dezake.
- CVE-2021-34549 - Erreleen aurkako zerbitzua ukatzeko balizko eraso bat. Erasotzaile batek hash funtzioetan talkak eragiten dituzten identifikatzaileekin kateak era ditzake, eta horien prozesatzeak PUZaren karga handia eragiten du.
- CVE-2021-34548 - Errele batek RELAY_END eta RELAY_RESOLVED gelaxkak faltsu ditzakete hari erdi itxietan, eta horrek errele honen parte-hartzerik gabe sortu zen hari bat amaitzea ahalbidetu zuen.
- TROVE-2021-004 - OpenSSL ausazko zenbaki-sorgailura deitzean hutsegiteen egiaztapen gehigarriak gehitu dira (OpenSSL-n RNG inplementazio lehenetsiarekin, horrelako hutsegiteak ez dira gertatzen).
Iturria: opennet.ru