Нашри асбобҳои Tor 0.4.6.5, ки барои ташкили кори шабакаи номаълуми Tor истифода мешавад, пешниҳод карда шуд. Версияи Tor 0.4.6.5 ҳамчун аввалин нашри устувори филиали 0.4.6 эътироф шудааст, ки дар тӯли панҷ моҳи охир таҳия шудааст. Филиали 0.4.6 ҳамчун як қисми давраи нигоҳдории мунтазам нигоҳ дошта мешавад - навсозӣ пас аз 9 моҳ ё 3 моҳ пас аз нашри филиали 0.4.7.x қатъ карда мешавад. Дастгирии дарозмуддат (LTS) барои филиали 0.3.5 пешниҳод карда мешавад, ки навсозиҳои онҳо то 1 феврали соли 2022 бароварда мешаванд. Ҳамзамон, релизҳои Tor 0.3.5.15, 0.4.4.9 ва 0.4.5.9 ташаккул ёфтанд, ки осебпазирии DoS-ро, ки метавонанд боиси радди хидматрасонӣ ба мизоҷони хидматрасонии пиёзӣ ва реле шаванд, бартараф карданд.
Тағйироти асосӣ:
- Имконияти эҷоди хидматҳои пиёз дар асоси версияи сеюми протокол бо аутентификатсияи дастрасии муштарӣ тавассути файлҳо дар феҳристи 'authorized_clients' илова карда шуд.
- Барои релеҳо парчам илова карда шудааст, ки ба оператори гиреҳ имкон медиҳад фаҳмад, ки ҳангоми интихоби серверҳо директорияҳо (масалан, вақте ки релеҳо дар як суроғаи IP хеле зиёданд) реле ба консенсус дохил карда намешавад.
- Интиқоли иттилоот дар бораи сарборӣ дар маълумоти иловагӣ имконпазир аст, ки онҳоро барои мувозинати сарборӣ дар шабака истифода бурдан мумкин аст. Интиқоли метрӣ бо истифода аз имконоти OverloadStatistics дар torrc идора карда мешавад.
- Имконияти маҳдуд кардани шиддати пайвастҳои муштарӣ ба реле ба зерсистемаи муҳофизати ҳамлаи DoS илова карда шудааст.
- Эстафета нашри омори шумораи хизматрасониҳои пиёзро дар асоси варианти сеюми протокол ва ҳаҷми трафики онҳоро амалӣ менамояд.
- Дастгирии опсияи DirPorts аз рамзи реле, ки барои ин навъи гиреҳ истифода намешавад, хориҷ карда шудааст.
- Рамз аз нав ислоҳ карда шуд. Зерсистемаи муҳофизат аз ҳамлаи DoS ба мудири зерсистема интиқол дода шуд.
- Дастгирии хадамоти пиёзи кӯҳна бар асоси версияи дуюми протокол, ки як сол қабл кӯҳна эълон шуда буд, қатъ шудааст. Ҳазфи пурраи коди марбут ба версияи дуюми протокол дар тирамоҳ дар назар аст. Варианти дуюми протокол тақрибан 16 сол пеш таҳия шуда буд ва бинобар истифодаи алгоритмҳои кӯҳна онро дар шароити муосир бехатар ҳисобидан мумкин нест. Дуюним сол пеш, дар нашри 0.3.2.9, ба корбарон версияи сеюми протокол барои хидматрасонии пиёз пешниҳод карда шуд, ки бо гузариш ба суроғаҳои 56 аломат, муҳофизати боэътимодтар аз ихроҷи маълумот тавассути серверҳои директория, сохтори васеъшавандаи модулӣ ва истифодаи алгоритмҳои SHA3, ed25519 ва curve25519 ба ҷои SHA1, DH ва RSA-1024.
- Камбудиҳои ислоҳшуда:
- CVE-2021-34550 – дастрасӣ ба минтақаи хотираи берун аз буфери ҷудошуда дар код барои таҳлили дескрипторҳои хидматрасонии пиёз дар асоси версияи сеюми протокол. Ҳамлагар метавонад бо гузоштани тавсифи махсуси пиёзии хидматрасонӣ, боиси суқути ҳар як муштарӣ гардад, ки кӯшиши дастрасӣ ба ин хидмати пиёзро дорад.
- CVE-2021-34549 - Эҳтимоли рад кардани ҳамлаи хидматӣ ба реле. Ҳамлагар метавонад занҷирҳоро бо идентификаторҳо созад, ки боиси бархӯрд дар функсияҳои хэш мегардад, ки коркарди онҳо боиси бори вазнин ба CPU мегардад.
- CVE-2021-34548 - Эстафета метавонад ячейкаҳои RELAY_END ва RELAY_RESOLVED-ро дар риштаҳои нимпўшида қаллобӣ кунад, ки ин имкон медиҳад, ки риштаи бе иштироки ин реле сохташуда қатъ карда шавад.
- TROVE-2021-004 - Санҷишҳои иловагӣ барои нокомиҳо ҳангоми занг задан ба генератори рақамҳои тасодуфии OpenSSL илова карда шуданд (бо татбиқи пешфарз RNG дар OpenSSL, чунин нокомиҳо рух намедиҳанд).
Манбаъ: opennet.ru