அநாமதேய Tor நெட்வொர்க்கின் செயல்பாட்டை ஒழுங்கமைக்க பயன்படுத்தப்படும் Tor 0.4.6.5 கருவித்தொகுப்பின் வெளியீடு வழங்கப்பட்டது. Tor பதிப்பு 0.4.6.5 ஆனது 0.4.6 கிளையின் முதல் நிலையான வெளியீடாக அங்கீகரிக்கப்பட்டுள்ளது, இது கடந்த ஐந்து மாதங்களாக வளர்ச்சியில் உள்ளது. வழக்கமான பராமரிப்பு சுழற்சியின் ஒரு பகுதியாக 0.4.6 கிளை பராமரிக்கப்படும் - 9.x கிளை வெளியான 3 மாதங்கள் அல்லது 0.4.7 மாதங்களுக்குப் பிறகு புதுப்பிப்புகள் நிறுத்தப்படும். 0.3.5 கிளைக்கு நீண்ட கால ஆதரவு (LTS) வழங்கப்படுகிறது, அதற்கான புதுப்பிப்புகள் பிப்ரவரி 1, 2022 வரை வெளியிடப்படும். அதே நேரத்தில், டோர் வெளியீடுகள் 0.3.5.15, 0.4.4.9 மற்றும் 0.4.5.9 உருவாக்கப்பட்டன, இது வெங்காய சேவைகள் மற்றும் ரிலேக்களின் வாடிக்கையாளர்களுக்கு சேவை மறுப்பை ஏற்படுத்தக்கூடிய DoS பாதிப்புகளை நீக்கியது.
முக்கிய மாற்றங்கள்:
- 'authorized_clients' கோப்பகத்தில் உள்ள கோப்புகள் மூலம் கிளையன்ட் அணுகலை அங்கீகரிப்பதன் மூலம் நெறிமுறையின் மூன்றாவது பதிப்பின் அடிப்படையில் வெங்காய சேவைகளை உருவாக்கும் திறன் சேர்க்கப்பட்டது.
- ரிலேக்களுக்கு, சர்வர்கள் கோப்பகங்களைத் தேர்ந்தெடுக்கும்போது (உதாரணமாக, ஒரு ஐபி முகவரியில் அதிகமான ரிலேக்கள் இருக்கும்போது) ஒருமித்த கருத்துடன் ரிலே சேர்க்கப்படவில்லை என்பதை நோட் ஆபரேட்டருக்குப் புரிந்துகொள்ள அனுமதிக்கும் கொடி சேர்க்கப்பட்டுள்ளது.
- எக்ஸ்ட்ராஇன்ஃபோ தரவுகளில் நெரிசல் தகவலை அனுப்புவது சாத்தியமாகும், இது நெட்வொர்க்கில் சுமை சமநிலைக்கு பயன்படுத்தப்படலாம். torrc இல் உள்ள OverloadStatistics விருப்பத்தைப் பயன்படுத்தி மெட்ரிக் பரிமாற்றம் கட்டுப்படுத்தப்படுகிறது.
- கிளையன்ட் இணைப்புகளின் தீவிரத்தை ரிலேக்களுக்குக் கட்டுப்படுத்தும் திறன் DoS தாக்குதல் பாதுகாப்பு துணை அமைப்பில் சேர்க்கப்பட்டுள்ளது.
- நெறிமுறையின் மூன்றாவது பதிப்பு மற்றும் அவற்றின் போக்குவரத்தின் அளவு ஆகியவற்றின் அடிப்படையில் வெங்காய சேவைகளின் எண்ணிக்கை குறித்த புள்ளிவிவரங்களை வெளியிடுவதை ரிலேக்கள் செயல்படுத்துகின்றன.
- DirPorts விருப்பத்திற்கான ஆதரவு ரிலே குறியீட்டிலிருந்து அகற்றப்பட்டது, இது இந்த வகை முனைக்கு பயன்படுத்தப்படவில்லை.
- குறியீடு மறுவடிவமைக்கப்பட்டது. DoS தாக்குதல் பாதுகாப்பு துணை அமைப்பு சப்சிஸ் மேலாளருக்கு நகர்த்தப்பட்டது.
- ஒரு வருடத்திற்கு முன்பு வழக்கற்றுப் போனதாக அறிவிக்கப்பட்ட நெறிமுறையின் இரண்டாவது பதிப்பின் அடிப்படையில் பழைய வெங்காய சேவைகளுக்கான ஆதரவு நிறுத்தப்பட்டுள்ளது. நெறிமுறையின் இரண்டாவது பதிப்போடு தொடர்புடைய குறியீட்டை முழுமையாக அகற்றுவது இலையுதிர்காலத்தில் எதிர்பார்க்கப்படுகிறது. நெறிமுறையின் இரண்டாவது பதிப்பு சுமார் 16 ஆண்டுகளுக்கு முன்பு உருவாக்கப்பட்டது மற்றும் காலாவதியான வழிமுறைகளின் பயன்பாடு காரணமாக, நவீன நிலைமைகளில் பாதுகாப்பாக கருத முடியாது. இரண்டரை ஆண்டுகளுக்கு முன்பு, வெளியீட்டு 0.3.2.9 இல், பயனர்களுக்கு வெங்காய சேவைகளுக்கான நெறிமுறையின் மூன்றாவது பதிப்பு வழங்கப்பட்டது, இது 56-எழுத்து முகவரிகளுக்கு மாறுதல், அடைவு சேவையகங்கள் மூலம் தரவு கசிவுகளுக்கு எதிராக மிகவும் நம்பகமான பாதுகாப்பு, விரிவாக்கக்கூடிய மட்டு அமைப்பு மற்றும் SHA3, DH மற்றும் RSA-25519க்கு பதிலாக SHA25519, ed1 மற்றும் curve1024 அல்காரிதம்களின் பயன்பாடு.
- பாதிப்புகள் சரி செய்யப்பட்டது:
- CVE-2021-34550 - நெறிமுறையின் மூன்றாவது பதிப்பின் அடிப்படையில் வெங்காய சேவை விளக்கங்களை பாகுபடுத்துவதற்கான குறியீட்டில் ஒதுக்கப்பட்ட இடையகத்திற்கு வெளியே நினைவக பகுதிக்கான அணுகல். தாக்குபவர், பிரத்யேகமாக வடிவமைக்கப்பட்ட வெங்காய சேவை விளக்கத்தை வைப்பதன் மூலம், இந்த வெங்காய சேவையை அணுக முயற்சிக்கும் எந்தவொரு வாடிக்கையாளரின் செயலிழப்பை ஏற்படுத்தலாம்.
- CVE-2021-34549 - ரிலேக்கள் மீதான சேவைத் தாக்குதலின் சாத்தியமான மறுப்பு. தாக்குபவர் ஹாஷ் செயல்பாடுகளில் மோதல்களை ஏற்படுத்தும் அடையாளங்காட்டிகளுடன் சங்கிலிகளை உருவாக்கலாம், இதன் செயலாக்கம் CPU இல் அதிக சுமையை ஏற்படுத்துகிறது.
- CVE-2021-34548 - ஒரு ரிலே RELAY_END மற்றும் RELAY_RESOLVED கலங்களை பாதி மூடிய த்ரெட்களில் ஏமாற்றலாம், இது இந்த ரிலேயின் பங்கேற்பு இல்லாமல் உருவாக்கப்பட்ட ஒரு தொடரை நிறுத்த அனுமதித்தது.
- TROVE-2021-004 - OpenSSL ரேண்டம் எண் ஜெனரேட்டரை அழைக்கும் போது தோல்விகளுக்கான கூடுதல் காசோலைகள் சேர்க்கப்பட்டது (OpenSSL இல் இயல்புநிலை RNG செயல்படுத்தலுடன், அத்தகைய தோல்விகள் ஏற்படாது).
ஆதாரம்: opennet.ru