The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Tor с устранением уязвимостей

16.03.2021 20:58

Представлены корректирующие выпуски инструментария Tor (0.3.5.14, 0.4.4.8, 0.4.5.7), используемого для организации работы анонимной сети Tor. В новых версиях устранены две уязвимости, который могут использоваться для осуществления DoS-атак на узлы сети Tor:

  • CVE-2021-28089 - атакующий может вызвать отказ обслуживания любых узлов и клиентов Tor через создание большой нагрузки на CPU, возникающей при обработке определённых типов данных. Наибольшую опасность уязвимость представляет для релеев и серверов директорий (Directory Authority), которые являются точками подключения к сети, отвечают за аутентификацию и передачу пользователю списка шлюзов, обрабатывающих трафик. Проще всего атаковать серверы директорий, так как они позволяют загружать данные любому участнику. Против релеев и клиентов атаку можно организовать через загрузку кэша директорий.
  • CVE-2021-28090 - атакующий может вызвать крах сервера директорий через передачу определённым образом оформленных откреплённых подписей (detached signature), используемых для передачи информации о состоянии консенсуса в сети.


  1. Главная ссылка к новости (https://blog.torproject.org/no...)
  2. OpenNews: Проект Tor опубликовал приложение для обмена файлами OnionShare 2.3
  3. OpenNews: Выпуск Tor Browser 10.0.12 и дистрибутив Tails 4.16
  4. OpenNews: Выпуск новой стабильной ветки Tor 0.4.5
  5. OpenNews: Проект Tor представил систему анонимных тикетов для GitLab
  6. OpenNews: Обновление Tor 0.3.5.12, 0.4.3.7 и 0.4.4.6 с устранением уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54768-tor
Ключевые слова: tor
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Растоним (?), 21:19, 16/03/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –4 +/
     
  • 1.6, Аноним (-), 21:54, 16/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это все враги досят

    https://codeberg.org/Romain/cloudflare-tor

     
     
  • 2.7, Аноним (7), 22:15, 16/03/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Что за шизики. Прям открыли глаза. Адекватные люди и так всё понимают, но иногда нет вариантов, кроме как клаудфлара
     
     
  • 3.13, Аноним (-), 23:48, 16/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Клаудфларе не вариант !
     
  • 3.15, Сейд (ok), 00:32, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Например, Akamai.
     
  • 3.23, Аноним (-), 12:09, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Клаудспайварь. SSL-бампинг практикует, после чего толку от вашего SSL ровно ноль. За такое по хорошему вообще серты надо в стоплисты вносить.
     
  • 2.26, Аноним (-), 12:13, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    О, прикольный списочек. А пополнения в этот hall of shame принимают? А то я б накидал всяких п-сов.
     

  • 1.8, Последний из могикан (?), 22:15, 16/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Как по мне самый анонимный вариант это через чужой хост сидеть.
     
     
  • 2.9, Аноним (9), 22:29, 16/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > через чужой хост сидеть.

    пришёл к другу - сядь за его комп :)

     
     
  • 3.16, Аноним (16), 00:34, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пришёл "друг" - сядешь за него :)
     
  • 2.10, Аноним (10), 22:29, 16/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Через хост чужого майора
     
     
  • 3.12, Антифрактал (?), 23:30, 16/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Через хост своего майора будет эпичнее
     
     
  • 4.28, Аноним (-), 13:00, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Полковник?
     
  • 3.14, Аноним (-), 23:55, 16/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    так ты майору и отвечаешь походу
     
  • 2.24, Аноним (-), 12:10, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Как по мне самый анонимный вариант это через чужой хост сидеть.

    С одним хостом это относительно реально скоррелировать через провайдерские логи. А вот с тремя хопами это уже сильно более спортивно.

     
  • 2.29, Аноним (-), 13:02, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за вредный совет
     

  • 1.11, Аноним (11), 23:15, 16/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Для защиты детей от РКН.
     
  • 1.17, ua9oas (ok), 00:39, 17/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И почему-то не могу найти deb-пакеты вещи сей на официальном сайте,- а тогда а как устанавливать ее из архивов "tar"?
    И deb-пакет этой вещи я все же нашел- ubuntuupdates.org/package/tor/focal/main/base/tor (а кто такие пакеты собирает?) Я попробовал сейчас установить этот пакет (в "18.04.2", работающей сейчас в live-режиме)- во 1х для меня остается загадкой, почему он весит всего 1,5 мегабайт (хотя и tar тоже (а не 55-78 мб как все)) а во 2х после установки такого пакета почему у меня в меню выбора программ этот браузер не появляется? (С сети при его установке он нового ничего не тянет,- автоматически он "не знает", чего под него не хватает. А что к этому пакету вручную в таких случаях тогда там надо доустановить, чтобы этот браузер заработал?)
     
     
  • 2.18, Аноним (-), 00:42, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Наверное тебе нужен торБраузер
     
  • 2.19, odd.mean (ok), 00:46, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да вот же:
    https://packages.debian.org/torbrowser-launcher
    Description: helps download and run the Tor Browser Bundle
    Tor Browser Launcher is intended to make the Tor Browser Bundle (TBB) easier
    to maintain and use for GNU/Linux users. torbrowser-launcher handles
    downloading the most recent version of TBB for you, in your language and for
    your architecture. It also adds a "Tor Browser" application launcher to your
    operating system's menu.
    .
    When you first launch Tor Browser Launcher, it will download TBB from
    https://www.torproject.org/ and extract it to ~/.local/share/torbrowser,
    and then execute it.
    Cache and configuration files will be stored in ~/.cache/torbrowser and
    ~/.config/torbrowser.
    Each subsequent execution after installation will simply launch the most
    recent TBB, which is updated using Tor Browser's own update feature.

     
  • 2.21, Аноним (21), 10:43, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >И deb-пакет этой вещи я все же нашел- ubuntuupdates.org/package/tor/focal/main/base/tor
    >попробовал сейчас установить этот пакет
    >скачать и установить пакет программы для обеспечения безопасности и приватности с васянского сайта

    /0

     

  • 1.20, еманйам (?), 09:08, 17/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну, по крайней мере сишных дырений не видно. но это не значит что их нет!

    переписать на rust/d - в срачном порядке!

     
     
  • 2.31, Аноним (-), 13:05, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уже переписываем /bin/ls
     
  • 2.42, Аноним (-), 07:11, 14/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ванга, это ты??
    https://blog.torproject.org/announcing-arti
     

  • 1.22, Аноним (22), 10:59, 17/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    На М1 чипах всё никак?
     
     
  • 2.25, Аноним (-), 12:11, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Тебя эппл зондов напихал - зачем тебе тор? Он тебе не поможет.
     
     
  • 3.32, Аноним (-), 13:07, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Он тебе не поможет.

    Ну там ведь тоже люди - пусть поржут.

     
     
  • 4.39, Аноним (-), 02:03, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ржать уместнее на ипподроме, там тоже тор ни к чему.
     
     
  • 5.41, Аноним (41), 18:00, 22/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е и за людей их считать нельзя ? Ну ок.
     

  • 1.27, Адмирал Майкл Роджерс (?), 12:59, 17/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Перечисленные в тексте новости методы отключения посторонних узлов сети Tor, применявшиеся ранее для обеспечения потока трафика через узлы, контролируемые ведомством, которое я имею честь возглавлять, утратили свою актуальность и более не используются в оперативной работе.
     
     
  • 2.30, Аноним (-), 13:04, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Работайте дальше над улучшением
    Россиянам вы не угроза
     
  • 2.33, Аноним (-), 13:09, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот и чудненько. Выходные узлы должны умереть.
     
     
  • 3.34, Аноним (-), 19:05, 17/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Капитан!
    Никогда ты не будешь майором
     

  • 1.35, Аноним (-), 23:27, 17/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кто имеет опыт запуска профиля
    apparmor "system_tor"
    После запуска
    sudo aa-enforce system_tor

    Пропадает соединение через tor

     
     
  • 2.36, Анон123 (?), 10:53, 18/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ставишь параметр загрузки ядра apparmor=0 и всё начинает работать.
    Для пользователя и для систем, отличных от тех, которым нужен air gap isolation и apparmor и selinux - это вредные, ненужные погремушки.
     
     
  • 3.37, Аноним (-), 12:17, 18/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Подожди
    Мне не нужно вырубать apparmor
    Все работает и не кашляет
    В Whonix увидел изоляцию tor
    Скачал профиль system_tor
    При загрузке профиля
    $ aa-enforce system_tor
    Соединение падает
    Убираешь - работает
    Я хочу изолировать ))
     
  • 3.38, Аноним (-), 13:58, 18/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тов. Майор, к вам жена приходила, просила передать что вам какие-то сертификаты поступили на почту.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру