The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

04.03.2018 09:47  Обновление Tor с устранением уязвимостей и дополнительной защитой от DoS-атак

Представлены корректирующие выпуски поддерживаемых веток инструментария Tor (0.3.2.10, 0.3.1.10, 0.2.9.15), используемого для организации работы анонимной сети Tor. Из улучшений в новом выпуске отмечается портирование из экспериментальной ветки системы противостояния DoS-атакам на шлюзы, которая на 1-2 часа блокирует доступ в случае поступления от клиента слишком большого числа одновременных запросов (больше 100), при использовании слишком коротких промежутков между созданием новых цепочек (если в течение 90 секунд наблюдается интенсивность более 3 запросов в секунду) и при удержании слишком большого числа открытых соединений (3).

Помимо исправления накопившихся ошибок в новой версии устранены 4 уязвимости, первые две из которых отмечены как умеренно-опасные (удалённый DoS), а остальным присвоен низкий уровень опасности:

  • TROVE-2018-001 (CVE-2018-0490) - удалённое срабатывание assert-проверки в коде обработки протокола взаимодействия с серверами директорий. Проблема может применяться для инициирования удалённого краха сервера директорий;
  • TROVE-2018-002 (CVE-2018-0491) - обращение к освобождённому блоку памяти (Use-after-free) в коде планировщика KIST, что можно использовать для удалённых DoS-атак на шлюзы Tor;
  • TROVE-2018-003 - бесконечное зацикливание в реализации protover на языке Rust;
  • TROVE-2018-004 - крах при наличии некорректной информации в протоколе при расчёте консенсуса.


  1. Главная ссылка к новости (https://blog.torproject.org/ne...)
  2. OpenNews: Кинокомпания обвинила в пиратстве владельца выходного узла Tor
  3. OpenNews: Выпуск web-браузера Tor Browser 7.5
  4. OpenNews: Стабильный выпуск новой ветки Tor 0.3.2
  5. OpenNews: Новые версии Tor с устранением уязвимостей
  6. OpenNews: В Tor Browser 7.0.9 устранена уязвимость, раскрывающая реальный IP-адрес
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: tor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 09:58, 04/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    Опеннет теперь работает круглосуточно :-) Помню, раньше в субботу и воскресенье не было новостей
     
     
  • 2.7, Аноним (-), 13:38, 04/03/2018 [^] [ответить]    [к модератору]
  • +3 +/
    Так вроде давно по выходным работает, может только новостей поменьше...
     
  • 1.2, Аноним (-), 09:59, 04/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Ух ты, они не успели начать использовать rust как уже запилили VULN.
     
  • 1.3, Аноним (-), 11:18, 04/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Уже есть бетка с FF 59?
     
     
  • 2.4, Аноним (-), 12:02, 04/03/2018 [^] [ответить]    [к модератору]
  • +/
    Причем тут tor? Хочешь использовать FF 59? Используй.
     
     
  • 3.8, Аноним (-), 13:48, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Модно использовать тор браузер вместо обычной лисы.
     
     
  • 4.15, Аноним (-), 16:15, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Немодно. Модно использовать whatsapp, гейфоны и выкладывать свои фотки в инстаграм.
     
  • 4.17, Аноним (-), 16:53, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Чел хочет использовать FF с tor
    не мешайте ))
     
     
  • 5.26, ya (??), 17:36, 04/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Чел хочет использовать FF с tor

    Ну я использую ff с tor. Не страшно, если отследят, что я качаю с рутрекера). Но если ты из Аль-Каиды, то используй tor-browser.


     
     
  • 6.27, Аноним (-), 17:52, 04/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > Но если ты из Аль-Каиды, то используй tor-browser.

    Если биос с зондами, тебя найдут даже если ты используешь Телеграм.

     
     
  • 7.28, Аноним (-), 18:17, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    не понял, при чём тут телеграм. Неуловимый Джо? Спасибо, не надо.
     
     
  • 8.29, Аноним (-), 18:33, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > не понял, при чём тут телеграм.

    Самое безопасное средство связи в мире.

     
  • 7.30, anonymous (??), 18:35, 04/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    >даже если ты используешь Телеграм

    но там же всю базу данных читает ФСБ.

     
     
  • 8.33, Аноним (-), 19:01, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Так Дуцров его делал по заказу ФСБ
     
     
  • 9.44, Аноним (-), 19:55, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Импортозамещаются перед опусканием железного занавеса чтоб не бунтовали. Идут по сценарию Китая.
     
  • 6.32, Аноним (-), 19:00, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Очень плохо что вы качаете торренты через tor
    Вообще то вы создаете неоправданную нагрузку на сеть.
    Разработчики просят не делать этого.

    Страно потом слышать мнение, что сеть медленная.

     
     
  • 7.42, ya (??), 19:26, 04/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Страно потом слышать мнение, что сеть медленная.

    Я недостаточно точно выразился. Качаю torrent-файлы с форума и связь с трекерами настроена через тор. С пирами прямое соединение.


     
  • 6.34, Аноним (-), 19:03, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    А вы помогаете Аль-Каиде, коли используете FF с tor?
     
  • 2.11, ya (??), 14:32, 04/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Ты имел в виду бетка tor браузера 8 0 Зачем им делать лишний труд Я думаю, они... весь текст скрыт [показать]
     
     
  • 3.14, Аноним (-), 16:12, 04/03/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    А будут ли? Разработчики тора сказали, что хром небезопасный, но теперь новые версии это хром. Они скорее всего перейдут на PaleMoon или будут допиливать 52.
     
     
  • 4.18, Аноним (-), 16:55, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Поток слов из космоса?
    Чего сказать то хотел?
     
  • 4.21, ya (??), 16:59, 04/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Уже вышла 2-я альфа Пока на базе 52 версии Не думаю, что на данном этапе возмо... весь текст скрыт [показать]
     
     
  • 5.31, Аноним (-), 18:57, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > А в принципе, они ничего бы не потеряли, перейдя на webkit

    Потеряли бы. https://trac.torproject.org/projects/tor/wiki/doc/ImportantGoogleChromeBugs

     
     
  • 6.43, ya (??), 19:34, 04/03/2018 [^] [ответить]     [к модератору]  
  • +/
    При чём тут Google Chrome Связь с webkit у него только историческая Ранее я им... весь текст скрыт [показать]
     
  • 5.36, Аноним (-), 19:05, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    А приобрели 100% если бы перешли на IE
     
  • 4.45, iPony (?), 07:03, 05/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Слова Palemoon и безопасность вообще в одном предложении не ставь. Так как это смешно говорить про браузер, в котором известные уязвимости фурифокса латают с отставанием этак в месяц-два.
     
  • 3.41, Аноним (-), 19:23, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    В день победы? Будет победный релиз над хромым?
     
  • 1.5, Аноним (-), 12:12, 04/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    а тор браузер эти уязвимости не затрагивают?
     
     
  • 2.9, ya (??), 14:20, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > а тор браузер эти уязвимости не затрагивают?

    tor browser = tor + firefox. Мысля ползёт в извилину?

     
     
  • 3.10, Аноним (-), 14:29, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Эти уязвимости применимы только для релеев, не для клиентов.
     
     
  • 4.12, ya (??), 14:49, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Эти уязвимости применимы только для релеев, не для клиентов.

    Правь torrc и будь релеем во время сёрфинга.

     
  • 4.13, ya (??), 14:59, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    С оф. сайта (может кому надо):
        Relays (and bridges) running 0.3.2.1-alpha through 0.3.2.9 should upgrade.
        Directory authorities should upgrade.
        Relays (and bridges) running 0.3.3.1-alpha should upgrade.
        All other relays (and bridges) may wish to upgrade in order to improve their
        resistance to denial-of-service attacks.


     
     
  • 5.19, Аноним (-), 16:56, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Там еще оговорка, что если вы не тестеровщик, то использовать не рекомендуется.
    Но вам можно..
     
     
  • 6.23, ya (??), 17:21, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Там еще оговорка, что если вы не тестеровщик, то использовать не рекомендуется.
    > Но вам можно..

    Можно всё, но не всё полезно (цитата из одной книжки). Если прочтёшь внимательней, то поймёшь, что информация указана и для стабильной ветки тора и для нестабильной


     
     
  • 7.37, Аноним (-), 19:07, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Вот и читай внимательно.
    Вдумчиво самое главное!
     
     
  • 8.39, ya (??), 19:14, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Вот и читай внимательно.
    > Вдумчиво самое главное!

    Конкретика будет или дальше будем в угадайку играть?

     
  • 7.38, Аноним (-), 19:12, 04/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Ты еще Фрейда тут процитируй Читай - https blog torproject org new-stable-tor... весь текст скрыт [показать]
     
     
  • 8.40, ya (??), 19:21, 04/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > "Remember, this is an alpha release: you should only run this if
    > you'd like to find and report more bugs than usual."

    Ты про новость New Tor alpha release: 0.3.3.3-alpha, а я взял отсюда: New stable Tor releases, with security fixes and DoS prevention: 0.3.2.10, 0.3.1.10, 0.2.9.15 PS: Я не из этих

     
  • 1.48, Аноним (-), 12:52, 05/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Представлены корректирующие выпуски поддерживаемых веток инструментария Tor (0.3.2.10, 0.3.1.10, 0.2.9.15)

    Зачем поддерживать 3 стабильные ветки?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor