Tor 0.4.6.5 llega con soporte para la tercera versión de los servicios onion y dice adiós a las anteriores

junio 25, 2021 , 0 Comments

Hace pocos se dio a conocer el lanzamiento de la nueva versión  Tor 0.4.6.5 la cual se considera como la primera versión estable de la rama 0.4.6, que ha evolucionado durante los últimos cinco meses.

La rama 0.4.6 se mantendrá como parte de un ciclo de mantenimiento regular; las actualizaciones se interrumpirán 9 meses o 3 meses después del lanzamiento de la rama 0.4.7.x, además de que se continúa proporcionando un ciclo de soporte largo (LTS) para la rama 0.3.5, cuyas actualizaciones se publicarán hasta el 1 de febrero de 2022.

Al mismo tiempo, se formaron las versiones 0.3.5.15, 0.4.4.9 y 0.4.5.9 de Tor, que corrigieron las vulnerabilidades de DoS que podrían causar la denegación de servicio a los clientes de servicios de cebolla y retransmisiones.

Principales novedades de Tor 0.4.6.5

En esta nueva versión se agregó la capacidad de crear «servicios onion» basados ​​en la tercera versión del protocolo con autenticación de acceso de clientes a través de archivos en el directorio ‘authorized_clients’.

Además de que tambien se proporcionó la capacidad de pasar información de congestión en datos extrainfo que se pueden usar para equilibrar la carga en la red. La transferencia métrica está controlada por la opción OverloadStatistics en torrc.

Tambien podremos encontrar que se ha agregado una bandera para los relés que permite al operador del nodo comprender que el relé no está incluido en el consenso cuando los servidores seleccionan directorios (por ejemplo, cuando hay demasiados relés en una dirección IP).

Por otra parte se menciona que se eliminó el soporte para los servicios onion más antiguos basados ​​en la segunda versión del protocolo, que se declaró obsoleto hace un año. Se espera la eliminación completa del código asociado con la segunda versión del protocolo en otoño. La segunda versión del protocolo se desarrolló hace unos 16 años y, debido al uso de algoritmos obsoletos, no se puede considerar segura en las condiciones modernas.

Hace dos años y medio, en la versión 0.3.2.9, se ofreció a los usuarios la tercera versión del protocolo, notable por la transición a direcciones de 56 caracteres, protección más confiable contra fugas de datos a través de servidores de directorio, un extensible estructura modular y el uso de algoritmos SHA3, ed25519 y curve25519 en lugar de SHA1, DH y RSA-1024.

De las vulnerabilidades solucionadas se mencionan las siguientes:

  • CVE-2021-34550: acceso a un área de memoria fuera del búfer asignado en el código para analizar descriptores de servicios cebolla basados ​​en la tercera versión del protocolo. Un atacante puede, colocando un descriptor de servicio de cebolla especialmente diseñado, iniciar el bloqueo de cualquier cliente que intente acceder a este servicio de cebolla.
  • CVE-2021-34549 – Capacidad para realizar un ataque que provoque la denegación de servicio de los relés. Un atacante puede formar cadenas con identificadores que provoquen colisiones en la función hash, cuyo procesamiento conduce a una gran carga en la CPU.
  • CVE-2021-34548: un relé podría falsificar las celdas RELAY_END y RELAY_RESOLVED en flujos semicerrados, lo que permitió terminar un flujo que se creó sin la participación de este relé.
  • TROVE-2021-004: se agregaron verificaciones adicionales para detectar fallas al acceder al generador de números aleatorios de OpenSSL (con la implementación predeterminada de RNG en OpenSSL, tales fallas no aparecen).

De los demás cambios que se destacan:

  • Se ha agregado al subsistema de protección DoS la capacidad de limitar la intensidad de las conexiones de los clientes a los relés.
  • En relevos se implementa la publicación de estadísticas sobre el número de servicios cebolla en base a la tercera versión del protocolo y el volumen de su tráfico.
  • Se eliminó el soporte para la opción DirPorts del código para relés, que no se usa para este tipo de nodo.
    Refactorización del código.
  • El subsistema de protección DoS se ha trasladado al administrador de subsistemas.

Finalmente si estás interesado en conocer más al respecto sobre esta nueva versión, puedes consultar los detalles en el siguiente enlace.

¿Como obtener Tor 0.4.6.5 ?

Para poder obtener esta nueva versión, basta con dirigirnos al sitio web oficial del proyecto y en su sección de descargas podremos obtener el código fuente para su compilación. Puedes obtener el código fuente desde el siguiente enlace.

Mientras que para el caso especial de usuarios de Arch Linux podremos obtenerlo desde el repositorio de AUR. Solo que en estos momentos no se ha actualizado el paquete, puedes monitorearlo desde el siguiente enlace y en cuanto este disponible puedes realizar la instalación tecleando el siguiente comando:

yay -S tor-git


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.