Zaprezentowano wydanie pakietu narzędzi Tor 0.4.6.5 służącego do organizacji działania anonimowej sieci Tor. Wersja Tora 0.4.6.5 jest uznawana za pierwszą stabilną wersję gałęzi 0.4.6, która jest rozwijana przez ostatnie pięć miesięcy. Oddział 0.4.6 będzie utrzymywany w ramach regularnego cyklu konserwacji - aktualizacje zostaną przerwane po 9 miesiącach lub 3 miesiącach od wydania gałęzi 0.4.7.x. Dla gałęzi 0.3.5 zapewnione jest długoterminowe wsparcie (LTS), dla którego aktualizacje zostaną wydane do 1 lutego 2022 roku. W tym samym czasie powstały wydania Tora 0.3.5.15, 0.4.4.9 i 0.4.5.9, w których wyeliminowano luki w zabezpieczeniach DoS, które mogłyby powodować odmowę usługi klientom usług cebulowych i przekaźników.
Główne zmiany:
- Dodano możliwość tworzenia usług cebulowych w oparciu o trzecią wersję protokołu z uwierzytelnianiem dostępu klienta poprzez pliki w katalogu „authorized_clients”.
- W przypadku przekaźników dodano flagę, która pozwala operatorowi węzła zrozumieć, że przekaźnik nie jest uwzględniany w konsensusie, gdy serwery wybierają katalogi (na przykład, gdy na jednym adresie IP znajduje się zbyt wiele przekaźników).
- Istnieje możliwość przesyłania informacji o przeciążeniach w postaci danych extrainfo, które można wykorzystać do równoważenia obciążenia w sieci. Transmisja metryczna jest kontrolowana za pomocą opcji OverloadStatistics w torrc.
- Do podsystemu ochrony przed atakami DoS dodano możliwość ograniczenia intensywności połączeń klientów z przekaźnikami.
- Przekaźniki realizują publikację statystyk dotyczących liczby usług cebulowych w oparciu o trzecią wersję protokołu i wielkości ich ruchu.
- Z kodu przekaźnika usunięto obsługę opcji DirPorts, która nie jest używana w tego typu węzłach.
- Kod został poddany refaktoryzacji. Podsystem ochrony przed atakami DoS został przeniesiony do menedżera podsystemów.
- Zaprzestano obsługi starych usług cebulowych opartych na drugiej wersji protokołu, która rok temu została uznana za przestarzałą. Całkowite usunięcie kodu związanego z drugą wersją protokołu spodziewane jest jesienią. Druga wersja protokołu powstała około 16 lat temu i ze względu na zastosowanie przestarzałych algorytmów nie może być uznana za bezpieczną we współczesnych warunkach. Dwa i pół roku temu, w wersji 0.3.2.9, zaoferowano użytkownikom trzecią wersję protokołu dla usług cebulowych, wyróżniającą się przejściem na adresy 56-znakowe, bardziej niezawodną ochroną przed wyciekami danych przez serwery katalogowe, rozszerzalną strukturą modułową oraz zastosowanie algorytmów SHA3, ed25519 i curve25519 zamiast SHA1, DH i RSA-1024.
- Naprawiono luki:
- CVE-2021-34550 – dostęp do obszaru pamięci poza przydzielonym buforem w kodzie parsującym deskryptory usług cebulowych w oparciu o trzecią wersję protokołu. Osoba atakująca może, umieszczając specjalnie zaprojektowany deskryptor usługi cebulowej, spowodować awarię dowolnego klienta próbującego uzyskać dostęp do tej usługi cebulowej.
- CVE-2021-34549 — Możliwy atak typu „odmowa usługi” na przekaźniki. Osoba atakująca może tworzyć łańcuchy z identyfikatorami, które powodują kolizje w funkcjach skrótu, których przetwarzanie powoduje duże obciążenie procesora.
- CVE-2021-34548 — Przekaźnik mógł sfałszować komórki RELAY_END i RELAY_RESOLVED w wątkach półzamkniętych, co umożliwiło zakończenie wątku utworzonego bez udziału tego przekaźnika.
- TROVE-2021-004 - Dodano dodatkowe sprawdzanie błędów podczas wywoływania generatora liczb losowych OpenSSL (przy domyślnej implementacji RNG w OpenSSL takie awarie nie występują).
Źródło: opennet.ru