Обновление Tor с устранением уязвимостей и дополнительной защитой от DoS-атак

04.03.2018 09:47

Представлены корректирующие выпуски поддерживаемых веток инструментария Tor (0.3.2.10, 0.3.1.10, 0.2.9.15), используемого для организации работы анонимной сети Tor. Из улучшений в новом выпуске отмечается портирование из экспериментальной ветки системы противостояния DoS-атакам на шлюзы, которая на 1-2 часа блокирует доступ в случае поступления от клиента слишком большого числа одновременных запросов (больше 100), при использовании слишком коротких промежутков между созданием новых цепочек (если в течение 90 секунд наблюдается интенсивность более 3 запросов в секунду) и при удержании слишком большого числа открытых соединений (3).

Помимо исправления накопившихся ошибок в новой версии устранены 4 уязвимости, первые две из которых отмечены как умеренно-опасные (удалённый DoS), а остальным присвоен низкий уровень опасности:

TROVE-2018-001 (CVE-2018-0490) - удалённое срабатывание assert-проверки в коде обработки протокола взаимодействия с серверами директорий. Проблема может применяться для инициирования удалённого краха сервера директорий;
TROVE-2018-002 (CVE-2018-0491) - обращение к освобождённому блоку памяти (Use-after-free) в коде планировщика KIST, что можно использовать для удалённых DoS-атак на шлюзы Tor;
TROVE-2018-003 - бесконечное зацикливание в реализации protover на языке Rust;
TROVE-2018-004 - крах при наличии некорректной информации в протоколе при расчёте консенсуса.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/48193-tor

Ключевые слова: tor

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (39)

1.1, Аноним (-), 09:58, 04/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Опеннет теперь работает круглосуточно :-) Помню, раньше в субботу и воскресенье не было новостей

2.7, Аноним (-), 13:38, 04/03/2018 [^] [^^] [^^^] [ответить]	+3 +/–
Так вроде давно по выходным работает, может только новостей поменьше...

1.2, Аноним (-), 09:59, 04/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ух ты, они не успели начать использовать rust как уже запилили VULN.

1.3, Аноним (-), 11:18, 04/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Уже есть бетка с FF 59?

2.4, Аноним (-), 12:02, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Причем тут tor? Хочешь использовать FF 59? Используй.

3.8, Аноним (-), 13:48, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Модно использовать тор браузер вместо обычной лисы.

4.15, Аноним (-), 16:15, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Немодно. Модно использовать whatsapp, гейфоны и выкладывать свои фотки в инстаграм.

4.17, Аноним (-), 16:53, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Чел хочет использовать FF с tor не мешайте ))

5.26, ya (??), 17:36, 04/03/2018 [^] [^^] [^^^] [ответить]

–1 +/–

> Чел хочет использовать FF с tor

Ну я использую ff с tor. Не страшно, если отследят, что я качаю с рутрекера). Но если ты из Аль-Каиды, то используй tor-browser.

6.27, Аноним (-), 17:52, 04/03/2018 [^] [^^] [^^^] [ответить]	–2 +/–
> Но если ты из Аль-Каиды, то используй tor-browser. Если биос с зондами, тебя найдут даже если ты используешь Телеграм.

7.28, Аноним (-), 18:17, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
не понял, при чём тут телеграм. Неуловимый Джо? Спасибо, не надо.

8.29, Аноним (-), 18:33, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Самое безопасное средство связи в мире ... текст свёрнут, показать

7.30, anonymous (??), 18:35, 04/03/2018 [^] [^^] [^^^] [ответить]	+1 +/–
>даже если ты используешь Телеграм но там же всю базу данных читает ФСБ.

8.33, Аноним (-), 19:01, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Так Дуцров его делал по заказу ФСБ... текст свёрнут, показать

9.44, Аноним (-), 19:55, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Импортозамещаются перед опусканием железного занавеса чтоб не бунтовали Идут по... текст свёрнут, показать

6.32, Аноним (-), 19:00, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Очень плохо что вы качаете торренты через tor Вообще то вы создаете неоправданную нагрузку на сеть. Разработчики просят не делать этого. Страно потом слышать мнение, что сеть медленная.

7.42, ya (??), 19:26, 04/03/2018 [^] [^^] [^^^] [ответить]

+1 +/–

> Страно потом слышать мнение, что сеть медленная.

Я недостаточно точно выразился. Качаю torrent-файлы с форума и связь с трекерами настроена через тор. С пирами прямое соединение.

6.34, Аноним (-), 19:03, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
А вы помогаете Аль-Каиде, коли используете FF с tor?

2.11, ya (??), 14:32, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
> Уже есть бетка с FF 59? Ты имел в виду бетка tor браузера 8.0? Зачем им делать лишний труд? Я думаю, они будут переходить с одного ESR на другой, то бишь с firefox 52 на 60, который выйдет 9 мая.

3.14, Аноним (-), 16:12, 04/03/2018 [^] [^^] [^^^] [ответить]	–4 +/–
А будут ли? Разработчики тора сказали, что хром небезопасный, но теперь новые версии это хром. Они скорее всего перейдут на PaleMoon или будут допиливать 52.

4.18, Аноним (-), 16:55, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Поток слов из космоса? Чего сказать то хотел?

4.21, ya (??), 16:59, 04/03/2018 [^] [^^] [^^^] [ответить]

+/–

> Они скорее всего перейдут на PaleMoon или будут допиливать 52.

Уже вышла 2-я альфа. Пока на базе 52 версии. Не думаю, что на данном этапе возможен переход на PaleMoon. А в принципе, они ничего бы не потеряли, перейдя на webkit, поскольку туева хуча фич файерфокса в безопасном режиме невостребована.

5.31, Аноним (-), 18:57, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
> А в принципе, они ничего бы не потеряли, перейдя на webkit Потеряли бы. https://trac.torproject.org/projects/tor/wiki/doc/ImportantGoogleChromeBugs

6.43, ya (??), 19:34, 04/03/2018 [^] [^^] [^^^] [ответить]

+/–

>> А в принципе, они ничего бы не потеряли, перейдя на webkit
> Потеряли бы. https://trac.torproject.org/projects/tor/wiki/doc/ImportantGoogleChromeBugs

При чём тут Google Chrome? Связь с webkit у него только историческая. Ранее я имел в виду, что как вариант, можно было написать другой вариант тор браузера с нуля на базе вебкита.

5.36, Аноним (-), 19:05, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
А приобрели 100% если бы перешли на IE

4.45, iPony (?), 07:03, 05/03/2018 [^] [^^] [^^^] [ответить]	+/–
Слова Palemoon и безопасность вообще в одном предложении не ставь. Так как это смешно говорить про браузер, в котором известные уязвимости фурифокса латают с отставанием этак в месяц-два.

3.41, Аноним (-), 19:23, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
В день победы? Будет победный релиз над хромым?

1.5, Аноним (-), 12:12, 04/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
а тор браузер эти уязвимости не затрагивают?

2.9, ya (??), 14:20, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
> а тор браузер эти уязвимости не затрагивают? tor browser = tor + firefox. Мысля ползёт в извилину?

3.10, Аноним (-), 14:29, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Эти уязвимости применимы только для релеев, не для клиентов.

4.12, ya (??), 14:49, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
> Эти уязвимости применимы только для релеев, не для клиентов. Правь torrc и будь релеем во время сёрфинга.

4.13, ya (??), 14:59, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
С оф. сайта (может кому надо): Relays (and bridges) running 0.3.2.1-alpha through 0.3.2.9 should upgrade. Directory authorities should upgrade. Relays (and bridges) running 0.3.3.1-alpha should upgrade. All other relays (and bridges) may wish to upgrade in order to improve their resistance to denial-of-service attacks.

5.19, Аноним (-), 16:56, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Там еще оговорка, что если вы не тестеровщик, то использовать не рекомендуется. Но вам можно..

6.23, ya (??), 17:21, 04/03/2018 [^] [^^] [^^^] [ответить]

+/–

> Там еще оговорка, что если вы не тестеровщик, то использовать не рекомендуется.
> Но вам можно..

Можно всё, но не всё полезно (цитата из одной книжки). Если прочтёшь внимательней, то поймёшь, что информация указана и для стабильной ветки тора и для нестабильной

7.37, Аноним (-), 19:07, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Вот и читай внимательно. Вдумчиво самое главное!

8.39, ya (??), 19:14, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Конкретика будет или дальше будем в угадайку играть ... текст свёрнут, показать

7.38, Аноним (-), 19:12, 04/03/2018 [^] [^^] [^^^] [ответить]	+/–
Ты еще Фрейда тут процитируй! Читай - https://blog.torproject.org/new-stable-tor-releases-security-fixes-and-dos-pre "Remember, this is an alpha release: you should only run this if you'd like to find and report more bugs than usual."

8.40, ya (??), 19:21, 04/03/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Ты про новость New Tor alpha release 0 3 3 3-alpha, а я взял отсюда New stable... текст свёрнут, показать

1.48, Аноним (-), 12:52, 05/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Представлены корректирующие выпуски поддерживаемых веток инструментария Tor (0.3.2.10, 0.3.1.10, 0.2.9.15) Зачем поддерживать 3 стабильные ветки?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: