Kutulutsidwa kwa zida za Tor 0.4.6.5, zomwe zimagwiritsidwa ntchito pokonzekera magwiridwe antchito a Tor network yosadziwika, yawonetsedwa. Mtundu wa Tor 0.4.6.5 umadziwika kuti ndiwoyamba kutulutsa kokhazikika kwa nthambi ya 0.4.6, yomwe yakhala ikukula kwa miyezi isanu yapitayi. Nthambi ya 0.4.6 idzasungidwa ngati gawo la kayendetsedwe ka nthawi zonse - zosintha zidzathetsedwa pakatha miyezi 9 kapena miyezi 3 pambuyo pa kutulutsidwa kwa nthambi ya 0.4.7.x. Thandizo la nthawi yayitali (LTS) limaperekedwa ku nthambi ya 0.3.5, zosintha zomwe zidzatulutsidwa mpaka February 1, 2022. Panthawi imodzimodziyo, Tor imatulutsa 0.3.5.15, 0.4.4.9 ndi 0.4.5.9, zomwe zinathetsa zovuta za DoS zomwe zingayambitse kukana ntchito kwa makasitomala a mautumiki a anyezi ndi ma relay.
Zosintha zazikulu:
- Anawonjezera kuthekera kopanga mautumiki a anyezi kutengera mtundu wachitatu wa protocol ndikutsimikizika kwa kasitomala kudzera pamafayilo omwe ali mu bukhu la 'authorized_clients'.
- Kwa ma relay, mbendera yawonjezedwa yomwe imalola wogwiritsa ntchito node kumvetsetsa kuti kutumizirananso sikukuphatikizidwa mu mgwirizano pamene ma seva amasankha maupangiri (mwachitsanzo, pakakhala ma relay ambiri pa adilesi imodzi ya IP).
- Ndizotheka kufalitsa zidziwitso zakusokonekera mu data ya extrainfo, yomwe ingagwiritsidwe ntchito pakuwongolera katundu pamaneti. Kutumiza kwa metric kumayendetsedwa pogwiritsa ntchito njira ya OverloadStatistics mu torrc.
- Kuthekera kochepetsa kuchulukira kwa kulumikizana kwamakasitomala kumakasitomala awonjezedwa kuchitetezo chachitetezo cha DoS.
- Relays amagwiritsa ntchito kufalitsa ziwerengero pa chiwerengero cha mautumiki a anyezi kutengera mtundu wachitatu wa protocol ndi kuchuluka kwa magalimoto awo.
- Thandizo la njira ya DirPorts yachotsedwa ku code relay, yomwe sikugwiritsidwa ntchito pamtundu woterewu.
- Khodiyo yasinthidwanso. Dongosolo lachitetezo chachitetezo cha DoS lasunthidwa kupita kwa manejala wa subsys.
- Thandizo la mautumiki akale a anyezi kutengera mtundu wachiwiri wa protocol, yomwe idanenedwa kuti yatha chaka chapitacho, yatha. Kuchotsedwa kwathunthu kwa code yokhudzana ndi mtundu wachiwiri wa protocol ikuyembekezeka mu kugwa. Mtundu wachiwiri wa protocol idapangidwa zaka 16 zapitazo ndipo, chifukwa chogwiritsa ntchito ma aligorivimu akale, sitingaganizidwe kuti ndi otetezeka masiku ano. Zaka ziwiri ndi theka zapitazo, pakumasulidwa kwa 0.3.2.9, ogwiritsa ntchito adapatsidwa mtundu wachitatu wa protocol ya mautumiki a anyezi, odziwika pakusintha kwa maadiresi amtundu wa 56, chitetezo chodalirika pakutulutsa kwa data kudzera pa seva zowongolera, mawonekedwe okulirapo. ndi kugwiritsa ntchito ma algorithms a SHA3, ed25519 ndi curve25519 m'malo mwa SHA1, DH ndi RSA-1024.
- Zowopsa zakhazikika:
- CVE-2021-34550 - mwayi wopita kumalo okumbukira kunja kwa buffer yomwe idaperekedwa mu code yofotokozera zautumiki wa anyezi kutengera mtundu wachitatu wa protocol. Wowukira atha, poyika chofotokozera cha utumiki wa anyezi wopangidwa mwapadera, kuchititsa ngozi ya kasitomala aliyense amene akufuna kupeza chithandizo cha anyezi.
- CVE-2021-34549 - Kukana kotheka kuwopseza ntchito pa ma relay. Wowukira amatha kupanga maunyolo okhala ndi zozindikiritsa zomwe zimayambitsa kugundana mu ntchito za hashi, kukonza komwe kumabweretsa katundu wolemetsa pa CPU.
- CVE-2021-34548 - Relay imatha kuwononga ma cell a RELAY_END ndi RELAY_RESOLVED mu ulusi wotsekedwa theka, zomwe zimalola kutha kwa ulusi womwe udapangidwa popanda kutenga nawo gawo pa relay.
- TROVE-2021-004 - Onjezani macheke owonjezera pazolephera mukamayimba jenereta ya manambala mwachisawawa ya OpenSSL (ndi kukhazikitsa kwa RNG mu OpenSSL, zolephera zotere sizichitika).
Source: opennet.ru