์ต๋ช ์ Tor ๋คํธ์ํฌ ์ด์์ ๊ตฌ์ฑํ๋ ๋ฐ ์ฌ์ฉ๋๋ Tor 0.4.6.5 ํดํท์ด ์ถ์๋์์ต๋๋ค. Tor ๋ฒ์ 0.4.6.5๋ ์ง๋ 0.4.6๊ฐ์ ๋์ ๊ฐ๋ฐ๋ 0.4.6 ๋ธ๋์น์ ์ฒซ ๋ฒ์งธ ์์ ๋ฆด๋ฆฌ์ค๋ก ์ธ์๋ฉ๋๋ค. 9 ๋ถ๊ธฐ๋ ์ ๊ธฐ ์ ์ง ๊ด๋ฆฌ ์ฃผ๊ธฐ์ ์ผ๋ถ๋ก ์ ์ง ๊ด๋ฆฌ๋ฉ๋๋ค. ์ ๋ฐ์ดํธ๋ 3.x ๋ถ๊ธฐ ์ถ์ ํ 0.4.7๊ฐ์ ๋๋ 0.3.5๊ฐ์ ํ์ ์ค๋จ๋ฉ๋๋ค. 1 ๋ธ๋์น์๋ LTS(์ฅ๊ธฐ ์ง์)๊ฐ ์ ๊ณต๋๋ฉฐ ํด๋น ์ ๋ฐ์ดํธ๋ 2022๋ 0.3.5.15์ 0.4.4.9์ผ๊น์ง ์ถ์๋ฉ๋๋ค. ๋์์ Tor ๋ฆด๋ฆฌ์ค 0.4.5.9, XNUMX ๋ฐ XNUMX๊ฐ ํ์ฑ๋์ด Onion ์๋น์ค ๋ฐ ๋ฆด๋ ์ด ํด๋ผ์ด์ธํธ์ ๋ํ ์๋น์ค ๊ฑฐ๋ถ๋ฅผ ์ ๋ฐํ ์ ์๋ DoS ์ทจ์ฝ์ ์ ์ ๊ฑฐํ์ต๋๋ค.
์ฃผ์ ๋ณ๊ฒฝ ์ฌํญ :
- 'authorized_clients' ๋๋ ํฐ๋ฆฌ์ ํ์ผ์ ํตํด ํด๋ผ์ด์ธํธ ์ก์ธ์ค๋ฅผ ์ธ์ฆํ์ฌ ํ๋กํ ์ฝ์ ์ธ ๋ฒ์งธ ๋ฒ์ ์ ๊ธฐ๋ฐ์ผ๋ก ์ํ ์๋น์ค๋ฅผ ์์ฑํ๋ ๊ธฐ๋ฅ์ ์ถ๊ฐํ์ต๋๋ค.
- ๋ฆด๋ ์ด์ ๊ฒฝ์ฐ ์๋ฒ๊ฐ ๋๋ ํฐ๋ฆฌ๋ฅผ ์ ํํ ๋(์: ํ๋์ IP ์ฃผ์์ ๋ฆด๋ ์ด๊ฐ ๋๋ฌด ๋ง์ ๊ฒฝ์ฐ) ๋ฆด๋ ์ด๊ฐ ํฉ์์ ํฌํจ๋์ง ์์์ ๋ ธ๋ ์ด์์๊ฐ ์ดํดํ ์ ์๋๋ก ํ๋ ํ๋๊ทธ๊ฐ ์ถ๊ฐ๋์์ต๋๋ค.
- ํผ์ก ์ ๋ณด๋ฅผ extrainfo ๋ฐ์ดํฐ๋ก ์ ์กํ ์ ์์ผ๋ฉฐ, ์ด๋ ๋คํธ์ํฌ์ ๋ก๋ ๋ฐธ๋ฐ์ฑ์ ์ฌ์ฉ๋ ์ ์์ต๋๋ค. ๋ฉํธ๋ฆญ ์ ์ก์ torrc์ OverloadStatistics ์ต์ ์ ์ฌ์ฉํ์ฌ ์ ์ด๋ฉ๋๋ค.
- DoS ๊ณต๊ฒฉ ๋ณดํธ ํ์ ์์คํ ์ ๋ฆด๋ ์ด์ ๋ํ ํด๋ผ์ด์ธํธ ์ฐ๊ฒฐ ๊ฐ๋๋ฅผ ์ ํํ๋ ๊ธฐ๋ฅ์ด ์ถ๊ฐ๋์์ต๋๋ค.
- ๋ฆด๋ ์ด๋ ํ๋กํ ์ฝ์ ์ธ ๋ฒ์งธ ๋ฒ์ ๊ณผ ํธ๋ํฝ ์์ ๊ธฐ๋ฐ์ผ๋ก ์ํ ์๋น์ค ์์ ๋ํ ํต๊ณ ๊ฒ์๋ฅผ ๊ตฌํํฉ๋๋ค.
- DirPorts ์ต์ ์ ๋ํ ์ง์์ด ์ด ์ ํ์ ๋ ธ๋์ ์ฌ์ฉ๋์ง ์๋ ๋ฆด๋ ์ด ์ฝ๋์์ ์ ๊ฑฐ๋์์ต๋๋ค.
- ์ฝ๋๊ฐ ๋ฆฌํฉํฐ๋ง๋์์ต๋๋ค. DoS ๊ณต๊ฒฉ ๋ณดํธ ํ์ ์์คํ ์ด ํ์ ์์คํ ๊ด๋ฆฌ์๋ก ์ด๋๋์์ต๋๋ค.
- 16๋ ์ ์ ๋ ์ด์ ์ฌ์ฉ๋์ง ์๋ ๊ฒ์ผ๋ก ์ ์ธ๋ ํ๋กํ ์ฝ์ ๋ ๋ฒ์งธ ๋ฒ์ ์ ๊ธฐ๋ฐ์ผ๋ก ํ๋ ์ด์ ์ํ ์๋น์ค์ ๋ํ ์ง์์ด ์ค๋จ๋์์ต๋๋ค. ํ๋กํ ์ฝ์ ๋ ๋ฒ์งธ ๋ฒ์ ๊ณผ ๊ด๋ จ๋ ์ฝ๋๋ ๊ฐ์์ ์์ ํ ์ ๊ฑฐ๋ ๊ฒ์ผ๋ก ์์๋ฉ๋๋ค. ํ๋กํ ์ฝ์ ๋ ๋ฒ์งธ ๋ฒ์ ์ ์ฝ 0.3.2.9๋ ์ ์ ๊ฐ๋ฐ๋์์ผ๋ฉฐ, ์ค๋๋ ์๊ณ ๋ฆฌ์ฆ์ ์ฌ์ฉํ๊ธฐ ๋๋ฌธ์ ํ๋ ์กฐ๊ฑด์์๋ ์์ ํ๋ค๊ณ ๊ฐ์ฃผํ ์ ์์ต๋๋ค. 56๋ ๋ฐ ์ ์ธ 3 ๋ฆด๋ฆฌ์ค์์ ์ฌ์ฉ์๋ 25519์ ์ฃผ์๋ก์ ์ ํ, ๋๋ ํฐ๋ฆฌ ์๋ฒ๋ฅผ ํตํ ๋ฐ์ดํฐ ์ ์ถ์ ๋ํ ๋ณด๋ค ์์ ์ ์ธ ๋ณดํธ, ํ์ฅ ๊ฐ๋ฅํ ๋ชจ๋์ ๊ตฌ์กฐ๋ก ์ฃผ๋ชฉํ ๋งํ ์ํ ์๋น์ค์ฉ ํ๋กํ ์ฝ์ ์ธ ๋ฒ์งธ ๋ฒ์ ์ ์ ๊ณต ๋ฐ์์ต๋๋ค. SHA25519, DH ๋ฐ RSA-1 ๋์ SHA1024, edXNUMX ๋ฐ curveXNUMX ์๊ณ ๋ฆฌ์ฆ์ ์ฌ์ฉํฉ๋๋ค.
- ์์ ๋ ์ทจ์ฝ์ :
- CVE-2021-34550 โ ํ๋กํ ์ฝ์ ์ธ ๋ฒ์งธ ๋ฒ์ ์ ๊ธฐ๋ฐ์ผ๋ก ์ํ ์๋น์ค ์ค๋ช ์๋ฅผ ๊ตฌ๋ฌธ ๋ถ์ํ๊ธฐ ์ํ ์ฝ๋์์ ํ ๋น๋ ๋ฒํผ ์ธ๋ถ์ ๋ฉ๋ชจ๋ฆฌ ์์ญ์ ์ก์ธ์คํฉ๋๋ค. ๊ณต๊ฒฉ์๋ ํน๋ณํ ์ค๊ณ๋ ์ํ ์๋น์ค ์ค๋ช ์๋ฅผ ๋ฐฐ์นํ์ฌ ์ด ์ํ ์๋น์ค์ ์ก์ธ์คํ๋ ค๋ ๋ชจ๋ ํด๋ผ์ด์ธํธ์ ์ถฉ๋์ ์ผ์ผํฌ ์ ์์ต๋๋ค.
- CVE-2021-34549 - ๋ฆด๋ ์ด์ ๋ํ ์๋น์ค ๊ฑฐ๋ถ ๊ณต๊ฒฉ์ด ๊ฐ๋ฅํฉ๋๋ค. ๊ณต๊ฒฉ์๋ ํด์ ํจ์์์ ์ถฉ๋์ ์ผ์ผํค๋ ์๋ณ์๋ก ์ฒด์ธ์ ํ์ฑํ ์ ์์ผ๋ฉฐ, ๊ทธ ์ฒ๋ฆฌ๋ก ์ธํด CPU์ ๊ณผ๋ํ ๋ถํ๊ฐ ๋ฐ์ํฉ๋๋ค.
- CVE-2021-34548 - ๋ฆด๋ ์ด๋ ๋ฐ์ฏค ๋ซํ ์ค๋ ๋์์ RELAY_END ๋ฐ RELAY_RESOLVED ์ ์ ์คํธํํ ์ ์์ผ๋ฉฐ, ์ด๋ก ์ธํด ์ด ๋ฆด๋ ์ด์ ์ฐธ์ฌ ์์ด ์์ฑ๋ ์ค๋ ๋๊ฐ ์ข ๋ฃ๋ ์ ์์ต๋๋ค.
- TROVE-2021-004 - OpenSSL ๋์ ์์ฑ๊ธฐ๋ฅผ ํธ์ถํ ๋ ์ค๋ฅ์ ๋ํ ์ถ๊ฐ ๊ฒ์ฌ๊ฐ ์ถ๊ฐ๋์์ต๋๋ค(OpenSSL์ ๊ธฐ๋ณธ RNG ๊ตฌํ์ ์ฌ์ฉํ๋ฉด ์ด๋ฌํ ์ค๋ฅ๊ฐ ๋ฐ์ํ์ง ์์ต๋๋ค).
์ถ์ฒ : opennet.ru