Útgáfa Tor 0.4.6.5 verkfærakistunnar, sem notuð er til að skipuleggja rekstur nafnlausa Tor netsins, hefur verið kynnt. Tor útgáfa 0.4.6.5 er viðurkennd sem fyrsta stöðuga útgáfan af 0.4.6 útibúinu, sem hefur verið í þróun undanfarna fimm mánuði. 0.4.6 útibúinu verður viðhaldið sem hluti af reglulegu viðhaldsferlinu - uppfærslum verður hætt eftir 9 mánuði eða 3 mánuði eftir útgáfu 0.4.7.x útibúsins. Langtímastuðningur (LTS) er veittur fyrir 0.3.5 útibúið, uppfærslur fyrir það verða gefnar út til 1. febrúar 2022. Á sama tíma mynduðust Tor útgáfur 0.3.5.15, 0.4.4.9 og 0.4.5.9, þar sem DoS varnarleysi sem gæti valdið afneitun á þjónustu við viðskiptavini laukþjónustu og gengi var eytt.
Helstu breytingar:
- Bætti við möguleikanum á að búa til laukþjónustu byggða á þriðju útgáfu samskiptareglunnar með auðkenningu á aðgangi viðskiptavinar í gegnum skrár í 'authorized_clients' skránni.
- Fyrir gengi hefur flaggi verið bætt við sem gerir hnútarstjóranum kleift að skilja að gengið er ekki innifalið í samstöðu þegar netþjónar velja möppur (til dæmis þegar of mörg gengi eru á einni IP tölu).
- Það er hægt að senda upplýsingar um þrengsli í aukaupplýsingagögnum, sem hægt er að nota til að jafna álag á netinu. Metraflutningi er stjórnað með OverloadStatistics valkostinum í torrc.
- Hæfni til að takmarka styrkleika viðskiptavinatenginga við liða hefur verið bætt við DoS árásarvarnar undirkerfi.
- Relays innleiða útgáfu tölfræði um fjölda laukþjónustu byggða á þriðju útgáfu samskiptareglunnar og umfangi umferðar þeirra.
- Stuðningur við DirPorts valkostinn hefur verið fjarlægður úr gengiskóðanum, sem er ekki notaður fyrir þessa tegund hnúta.
- Kóðinn hefur verið endurskoðaður. DoS árásarvarnarundirkerfið hefur verið fært yfir í undirkerfisstjórann.
- Stuðningur við gamla laukþjónustu byggða á annarri útgáfu bókunarinnar, sem lýst var úrelt fyrir ári síðan, hefur verið hætt. Búist er við að kóða sem tengist annarri útgáfu samskiptareglunnar verði fjarlægður að fullu í haust. Önnur útgáfan af samskiptareglunum var þróuð fyrir um 16 árum og, vegna notkunar gamaldags reiknirit, getur hún ekki talist örugg við nútíma aðstæður. Fyrir tveimur og hálfu ári, í útgáfu 0.3.2.9, var notendum boðin þriðju útgáfan af samskiptareglum fyrir laukþjónustu, sem er athyglisvert fyrir umskiptin yfir í 56 stafa vistföng, áreiðanlegri vörn gegn gagnaleka í gegnum skráarþjóna, stækkanlegt einingakerfi og notkun SHA3, ed25519 og curve25519 reiknirit í stað SHA1, DH og RSA-1024.
- Veikleikar lagaðir:
- CVE-2021-34550 – aðgangur að minnissvæði utan úthlutaðs biðminni í kóðanum fyrir þáttun laukþjónustulýsinga byggða á þriðju útgáfu samskiptareglunnar. Árásarmaður getur, með því að setja sérhannaðan laukþjónustulýsingu, valdið hruni allra viðskiptavina sem reyna að fá aðgang að þessari laukþjónustu.
- CVE-2021-34549 - Möguleg afneitun á þjónustu á gengi. Árásarmaður getur myndað keðjur með auðkennum sem valda árekstrum í kjötkássaaðgerðum, en vinnsla þeirra veldur miklu álagi á örgjörva.
- CVE-2021-34548 - Gengi gæti svikið RELAY_END og RELAY_RESOLVED frumur í hálflokuðum þráðum, sem gerði það kleift að loka þræði sem var búinn til án þátttöku þessa gengis.
- TROVE-2021-004 - Bætt við viðbótarathugunum á bilunum þegar hringt er í OpenSSL handahófsnúmeraframleiðandann (með sjálfgefna RNG útfærslu í OpenSSL, slíkar bilanir eiga sér ekki stað).
Heimild: opennet.ru