випуск інструментарію , що використовується для роботи анонімної мережі Tor. Tor 0.4.2.5 визнаний першим стабільним випуском гілки 0.4.2, що розвивався останні чотири місяці. Одночасно запропоновано оновлення для старих гілок 0.4.1.7, 0.4.0.6 та 0.3.5.9. Гілка 0.4.2 супроводжуватиметься в рамках штатного циклу супроводу - випуск оновлень буде припинено через 9 місяців або через 3 місяці після релізу гілки 0.4.3.x. Тривалий цикл підтримки (LTS) забезпечений для гілки 0.3.5, оновлення для якої випускатимуться до 1 лютого 2022 року. Підтримка гілок 0.4.0.x та 0.2.9.x буде припинена на початку наступного року.
Основні нововведення:
- На серверах каталогів включено підключення вузлів, на яких використовуються застарілі випуски Tor, підтримка яких припинена (будуть заблоковані всі вузли, на яких не використовуються актуальні гілки 0.2.9, 0.3.5, 0.4.0, 0.4.1 та 0.4.2). Блокування дозволить у міру припинення підтримки чергових гілок автоматично виключати з мережі вузли, які вчасно не перейшли на актуальне програмне забезпечення.
Наявність у мережі вузлів із застарілим програмним забезпеченням негативно відбивається на стабільності та створює додаткові ризики порушення безпеки. Якщо адміністратор не стежить за оновленням Tor, то, ймовірно, він недбало ставиться до оновлення системи та інших серверних програм, що підвищує ризик захоплення контролю над вузлом внаслідок цільових атак. Наявність вузлів з випусками, що вже не підтримуються, також заважає виправленню важливих помилок, перешкоджає поширенню нових можливостей протоколу і знижує ефективність роботи мережі. Операторів застарілих систем було повідомлено про заплановане блокування ще у вересні.
- Для прихованих сервісів засоби захисту від DoS-атак. Точки вибору з'єднання (intro points) тепер можуть обмежувати інтенсивність запитів від клієнта, використовуючи параметри, надіслані прихованим сервісом у осередку ESTABLISH_INTRO. Якщо нове розширення не використовується прихованим сервісом, то точка вибору з'єднання керуватиметься параметрами досягнення консенсусу.
- У точках вибору з'єднання заборонено підключення клієнтів прямого прокидання (single-hop), які використовувалися для роботи сервісу Tor2web, підтримка якого давно припинена. Блокування дозволить зменшити навантаження на мережу від клієнтів-спамерів.
- Для прихованих сервісів реалізований загальний набір токенів (generic token bucket), що використовує єдиний лічильник, який може застосовуватися для боротьби з атаками DoS.
- Режим "BEST" у команді ADD_ONION тепер за умовчанням застосовує сервіси ED25519-V3 (v3) замість RSA1024 (v2).
- У коді налаштування додано можливість розділення даних конфігурації між кількома об'єктами.
- Проведено значне чищення коду.
Джерело: opennet.ru