Naseho ny famoahana ny kitapo fitaovan'ny Tor 0.4.6.5, nampiasaina handaminana ny fiasan'ny tambajotra Tor tsy fantatra anarana. Tor version 0.4.6.5 dia ekena ho famoahana stable voalohany amin'ny sampana 0.4.6, izay efa novolavolaina nandritra ny dimy volana lasa. Ny sampana 0.4.6 dia hotazonina ao anatin'ny tsingerin'ny fikojakojana tsy tapaka - hajanona ny fanavaozana rehefa afaka 9 volana na 3 volana aorian'ny famoahana ny sampana 0.4.7.x. Ny fanohanana maharitra (LTS) dia omena ho an'ny sampana 0.3.5, ny fanavaozana izay havoaka hatramin'ny 1 Febroary 2022. Nandritra izany fotoana izany, Tor dia namoaka 0.3.5.15, 0.4.4.9 ary 0.4.5.9 niforona, izay nanafoana ny vulnerability DoS izay mety hiteraka fandavana ny serivisy ho an'ny mpanjifan'ny serivisy tongolo sy ny fampitana.
Fiovana lehibe:
- Nampiana ny fahafahana mamorona serivisy onion mifototra amin'ny dikan-teny fahatelo amin'ny protocol miaraka amin'ny fanamarinana ny fidiran'ny mpanjifa amin'ny alΓ lan'ny rakitra ao amin'ny lahatahiry 'authorized_clients'.
- Ho an'ny fampitana dia nasiana saina izay ahafahan'ny mpandraharaha node hahatakatra fa tsy tafiditra ao anatin'ny fifanarahana ny fampitaovana rehefa mifidy lahatahiry ny mpizara (ohatra, rehefa be loatra ny fampitana amin'ny adiresy IP iray).
- Azo atao ny mampita vaovao momba ny fitohanana amin'ny data extrainfo, izay azo ampiasaina amin'ny fampifandanjana entana ao amin'ny tambajotra. Ny fifindran'ny metric dia fehezina amin'ny alΓ lan'ny safidy OverloadStatistics amin'ny torrc.
- Ny fahafahana mametra ny hamafin'ny fifandraisan'ny mpanjifa amin'ny relay dia nampiana tao amin'ny subsystem fiarovana ny fanafihana DoS.
- Relays dia mampihatra ny famoahana ny antontan'isa momba ny isan'ny serivisy tongolo mifototra amin'ny dikan-teny fahatelo amin'ny protocol sy ny habetsahan'ny fifamoivoizana.
- Ny fanohanana ny safidy DirPorts dia nesorina tamin'ny code relay, izay tsy ampiasaina amin'ity karazana node ity.
- Nohavaozina ny kaody. Nafindra tany amin'ny mpitantana subsys ny subsystem fiarovana ny fanafihana DoS.
- Ny fanohanana ny serivisy tongolo taloha mifototra amin'ny dikan-teny faharoa amin'ny protocol, izay nambara ho lany andro herintaona lasa izay, dia natsahatra. Ny fanesorana tanteraka ny kaody mifandraika amin'ny dikan-teny faharoa amin'ny protocol dia andrasana amin'ny fararano. Ny dikan-teny faharoa amin'ny protocol dia novolavolaina 16 taona lasa izay ary, noho ny fampiasana algorithm efa lany andro, dia tsy azo heverina ho azo antoka amin'ny toe-javatra maoderina. Roa taona sy tapany lasa izay, tamin'ny famoahana 0.3.2.9, ireo mpampiasa dia natolotra ny dikan-teny fahatelo amin'ny protocol ho an'ny serivisy tongolo, malaza amin'ny fifindrana mankany amin'ny adiresy 56-karakter, fiarovana azo antoka kokoa amin'ny fiparitahan'ny angon-drakitra amin'ny alΓ lan'ny mpizara lahatahiry, firafitry ny modular extensible ary ny fampiasana algorithm SHA3, ed25519 ary curve25519 fa tsy SHA1, DH ary RSA-1024.
- Voalamina ny vulnerabilities:
- CVE-2021-34550 - fidirana amin'ny faritra fitadidiana ivelan'ny buffer voatokana amin'ny kaody ho an'ny fanoritsoritana ny serivisy momba ny onion mifototra amin'ny dikan-teny fahatelo amin'ny protocol. Ny mpanafika dia afaka, amin'ny alΓ lan'ny fametrahana famaritana manokana momba ny serivisy tongolo, mahatonga ny fianjeran'ny mpanjifa rehetra manandrana miditra amin'ity serivisy tongolo ity.
- CVE-2021-34549 - Mety ho fandavana ny fanafihana serivisy amin'ny relay. Ny mpanafika dia afaka mamorona rojo miaraka amin'ny famantarana izay miteraka fifandonana amin'ny asa hash, ny fanodinana azy dia miteraka enta-mavesatra amin'ny CPU.
- CVE-2021-34548 - Ny fampitaovana dia mety hanimba ny relay_END sy ny relay_RESOLVED amin'ny kofehy mihidy antsasaky, izay nahafahan'ny fampitsaharana ny kofehy iray izay noforonina tsy misy ny fandraisana anjara amin'ity fampitana ity.
- TROVE-2021-004 - Fanamarinana fanampiny ho an'ny tsy fahombiazana rehefa miantso ny OpenSSL mpamokatra nomerao random (miaraka amin'ny fampiharana RNG default amin'ny OpenSSL, tsy misy ny tsy fahombiazana toy izany).
Source: opennet.ru