URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 113737
[ Назад ]
Исходное сообщение
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено opennews , 04-Мрт-18 09:58 
Представлены (https://blog.torproject.org/new-stable-tor-releases-security...) корректирующие выпуски поддерживаемых веток инструментария Tor (0.3.2.10, 0.3.1.10, 0.2.9.15), используемого для организации работы анонимной сети Tor. Из  улучшений в новом выпуске отмечается портирование из экспериментальной ветки системы противостояния DoS-атакам на шлюзы, которая на 1-2 часа блокирует доступ в случае поступления от клиента слишком большого числа одновременных запросов (больше 100), при использовании слишком коротких промежутков между созданием новых цепочек (если в течение  90  секунд наблюдается интенсивность более 3 запросов в секунду) и при удержании слишком большого числа открытых соединений (3).


Помимо исправления накопившихся ошибок в новой версии устранены 4 уязвимости (https://trac.torproject.org/projects/tor/wiki/TROVE), первые две из которых отмечены как умеренно-опасные (удалённый DoS), а остальным присвоен низкий уровень опасности:


-  TROVE-2018-001 (https://trac.torproject.org/projects/tor/ticket/25074) (CVE-2018-0490) - удалённое срабатывание assert-проверки в коде обработки протокола взаимодействия с серверами директорий. Проблема может применяться для инициирования удалённого краха сервера директорий;

-  TROVE-2018-002 (https://trac.torproject.org/projects/tor/ticket/25117) (CVE-2018-0491) - обращение к освобождённому блоку памяти (Use-after-free) в коде планировщика KIST, что можно использовать для удалённых DoS-атак на шлюзы Tor;

-  TROVE-2018-003 (https://trac.torproject.org/projects/tor/ticket/25250) - бесконечное зацикливание в реализации protover (https://github.com/torproject/tor/tree/master/src/rust/protover) на языке Rust;

-  TROVE-2018-004 (https://trac.torproject.org/projects/tor/ticket/25251) - крах при наличии некорректной  информации в протоколе при расчёте консенсуса.


URL: https://blog.torproject.org/new-stable-tor-releases-security...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48193

Содержание
Сообщения в этом обсуждении
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 09:58 
Опеннет теперь работает круглосуточно :-) Помню, раньше в субботу и воскресенье не было новостей
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 13:38 
Так вроде давно по выходным работает, может только новостей поменьше...
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 09:59 
Ух ты, они не успели начать использовать rust как уже запилили VULN.
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 11:18 
Уже есть бетка с FF 59?
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 12:02 
Причем тут tor? Хочешь использовать FF 59? Используй.
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 13:48 
Модно использовать тор браузер вместо обычной лисы.
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 16:15 
Немодно. Модно использовать whatsapp, гейфоны и выкладывать свои фотки в инстаграм.
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 16:53 
Чел хочет использовать FF с tor
не мешайте ))
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено ya , 04-Мрт-18 17:36 
> Чел хочет использовать FF с tor

Ну я использую ff с tor. Не страшно, если отследят, что я качаю с рутрекера). Но если ты из Аль-Каиды, то используй tor-browser.


"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 17:52 
> Но если ты из Аль-Каиды, то используй tor-browser.

Если биос с зондами, тебя найдут даже если ты используешь Телеграм.

"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 18:17 
не понял, при чём тут телеграм. Неуловимый Джо? Спасибо, не надо.
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 18:33 
> не понял, при чём тут телеграм.

Самое безопасное средство связи в мире.

"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено anonymous , 04-Мрт-18 18:35 
>даже если ты используешь Телеграм

но там же всю базу данных читает ФСБ.

"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 19:01 
Так Дуцров его делал по заказу ФСБ
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 19:55 
Импортозамещаются перед опусканием железного занавеса чтоб не бунтовали. Идут по сценарию Китая.
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 19:00 
Очень плохо что вы качаете торренты через tor
Вообще то вы создаете неоправданную нагрузку на сеть.
Разработчики просят не делать этого.

Страно потом слышать мнение, что сеть медленная.

"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено ya , 04-Мрт-18 19:26 
> Страно потом слышать мнение, что сеть медленная.

Я недостаточно точно выразился. Качаю torrent-файлы с форума и связь с трекерами настроена через тор. С пирами прямое соединение.


"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 19:03 
А вы помогаете Аль-Каиде, коли используете FF с tor?
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено ya , 04-Мрт-18 14:32 
> Уже есть бетка с FF 59?

Ты имел в виду бетка tor браузера 8.0? Зачем им делать лишний труд? Я думаю, они будут переходить с одного ESR на другой, то бишь с firefox 52 на 60, который выйдет 9 мая.

"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 16:12 
А будут ли? Разработчики тора сказали, что хром небезопасный, но теперь новые версии это хром. Они скорее всего перейдут на PaleMoon или будут допиливать 52.
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 16:55 
Поток слов из космоса?
Чего сказать то хотел?
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено ya , 04-Мрт-18 16:59 
> Они скорее всего перейдут на PaleMoon или будут допиливать 52.

Уже вышла 2-я альфа. Пока на базе 52 версии. Не думаю, что на данном этапе возможен переход на PaleMoon. А в принципе, они ничего бы не потеряли, перейдя на webkit, поскольку туева хуча фич файерфокса в безопасном режиме невостребована.


"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 18:57 
> А в принципе, они ничего бы не потеряли, перейдя на webkit

Потеряли бы. https://trac.torproject.org/projects/tor/wiki/doc/ImportantG...

"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено ya , 04-Мрт-18 19:34 
>> А в принципе, они ничего бы не потеряли, перейдя на webkit
> Потеряли бы. https://trac.torproject.org/projects/tor/wiki/doc/ImportantG...

При чём тут Google Chrome? Связь с webkit у него только историческая. Ранее я имел в виду, что как вариант, можно было написать другой вариант тор браузера с нуля на базе вебкита.

"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 19:05 
А приобрели 100% если бы перешли на IE
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено iPony , 05-Мрт-18 07:03 
Слова Palemoon и безопасность вообще в одном предложении не ставь. Так как это смешно говорить про браузер, в котором известные уязвимости фурифокса латают с отставанием этак в месяц-два.
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 19:23 
В день победы? Будет победный релиз над хромым?
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 12:12 
а тор браузер эти уязвимости не затрагивают?
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено ya , 04-Мрт-18 14:20 
> а тор браузер эти уязвимости не затрагивают?

tor browser = tor + firefox. Мысля ползёт в извилину?

"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 14:29 
Эти уязвимости применимы только для релеев, не для клиентов.
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено ya , 04-Мрт-18 14:49 
> Эти уязвимости применимы только для релеев, не для клиентов.

Правь torrc и будь релеем во время сёрфинга.

"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено ya , 04-Мрт-18 14:59 
С оф. сайта (может кому надо):
    Relays (and bridges) running 0.3.2.1-alpha through 0.3.2.9 should upgrade.
    Directory authorities should upgrade.
    Relays (and bridges) running 0.3.3.1-alpha should upgrade.
    All other relays (and bridges) may wish to upgrade in order to improve their
    resistance to denial-of-service attacks.


"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 16:56 
Там еще оговорка, что если вы не тестеровщик, то использовать не рекомендуется.
Но вам можно..
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено ya , 04-Мрт-18 17:21 
> Там еще оговорка, что если вы не тестеровщик, то использовать не рекомендуется.
> Но вам можно..

Можно всё, но не всё полезно (цитата из одной книжки). Если прочтёшь внимательней, то поймёшь, что информация указана и для стабильной ветки тора и для нестабильной


"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 19:07 
Вот и читай внимательно.
Вдумчиво самое главное!
"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено ya , 04-Мрт-18 19:14 
> Вот и читай внимательно.
> Вдумчиво самое главное!

Конкретика будет или дальше будем в угадайку играть?

"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 04-Мрт-18 19:12 
Ты еще Фрейда тут процитируй!
Читай - https://blog.torproject.org/new-stable-tor-releases-security...

"Remember, this is an alpha release: you should only run this if you'd like to find and report more bugs than usual."

"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено ya , 04-Мрт-18 19:21 
> "Remember, this is an alpha release: you should only run this if
> you'd like to find and report more bugs than usual."

Ты про новость New Tor alpha release: 0.3.3.3-alpha, а я взял отсюда: New stable Tor releases, with security fixes and DoS prevention: 0.3.2.10, 0.3.1.10, 0.2.9.15 PS: Я не из этих

"Обновление Tor с устранением уязвимостей и дополнительной за..."
Отправлено Аноним , 05-Мрт-18 12:52 
>Представлены корректирующие выпуски поддерживаемых веток инструментария Tor (0.3.2.10, 0.3.1.10, 0.2.9.15)

Зачем поддерживать 3 стабильные ветки?