The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости, связанной с утечкой DNS-запросов

13.01.2023 14:53

Опубликованы корректирующие выпуски инструментария Tor 0.4.5.16 и 0.4.7.13, используемого для организации работы анонимной сети Tor. В новой версии устранена уязвимость, связанная с нарушением работы защиты от утечки DNS-запросов через локальный резолвер при подключении клиента через SOCKS4. Tor Browser не использует SOCKS4, поэтому проблема его не касается.

При установке в torrc параметра "SafeSocks 1" в Tor включается режим блокирования запросов, в которых фигурируют IP-адреса вместо имён хостов, так как подобные запросы могут свидетельствовать, что домен открытого через Tor сайта уже определён локальным резолвером, а не полностью транслирован через Tor (т.е. владелец прописанного в параметрах системы DNS-сервера может узнать к какому домену обращался пользователь через Tor).

Уязвимость вызвана ошибкой из-за которой проверка настройки SafeSocks при использовании SOCKS4 инвертировалась и защита не применялась в то время, как пользователь считал, что он защищён от утечек через DNS. Утечка через локальный резолвер происходила при использовании SOCKS4 в приложениях, не поддерживающих SOCKS4a (расширение, принимающее запросы с именами доменов вместо IP), или в приложениях, поддерживающих SOCKS4a, но откатывающихся до SOCKS4 после выдачи Tor-ом ошибки.

Кроме устранения уязвимости в выпуске Tor 0.4.7.13 также устранена недоработка в коде управления перегрузкой, которая могла повлиять на работу клиентов и операторов выходных узлов. На платформе Linux реализована поддержка флага IP_BIND_ADDRESS_NO_PORT для релеев, использующих настройку OutboundBindAddress. Также разработчики напоминают, что поддержка ветки 0.4.5.x будет прекращена 15 февраля и пользователям следует обновить свои системы до ветки 0.4.7.x.

  1. Главная ссылка к новости (https://forum.torproject.net/t...)
  2. OpenNews: Выпуск Tor Browser 12.0
  3. OpenNews: Выпуск Arti 1.1, официальной реализации Tor на языке Rust
  4. OpenNews: Отчёт о финансировании проекта Tor
  5. OpenNews: Выпуск новой стабильной ветки Tor 0.4.7
  6. OpenNews: Новый вариант атаки SAD DNS для подстановки фиктивных данных в кэш DNS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58473-tor
Ключевые слова: tor, dns
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (61) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонимм (??), 15:03, 13/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Отличная опечатка! Тянет как минимум на премию от товарища майора
     
     
  • 2.6, Аноним (6), 15:12, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я вот тоже подумал найс дыра. С другой стороны, прикрываемся от мудаков владельцев сайтов, а не от провайдера днс.
     
     
  • 3.29, Аноним (29), 17:22, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С еще более другой стороны, какого черта вы socks4 вообще в 2023 использовали? У вас что, программы socks5 не умели? Вы серьезно?
     
     
  • 4.49, Аноним (49), 05:21, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Протокол socks5 так себе апгрейд. Ради чего он был сделан почти никогда не используется. А именно - авторизация. Как и биндинг портов на удаленном сервере. Для задачи соединения на такой-то хост 4а и 5 функционально идентичны, но 4а проще и эффективнее. В 4а нужно всего один раз в сокет записать, а в 5 отдельный хендшейк и нужно проверять статус коды.
     
     
  • 5.51, Аноним (-), 09:38, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нормальный апгрейд. Позволяет имена хостов сразу отдавать, а не через джеппу. Так что DNSопроблемы радикально отваливаются.

    А авторизация в случае сабжа... позволяет тору внезапно разделять потоки от разного софта, понимая что изолировать по разным цепочкам.

    В общем применительно к использованию tor стоит просто запомнить что socks4 маздай и забыть про него. А маздай он потому что работать с именами хостов нормально толком не умеет. Если конечно легитимно конектиться к только айпишникам, и никакого ресольва не требуется... но это очень вольное допущение. А иначе оно вон тем постепенно воздается. В случае сокс5 тор сразу именем хоста оперирует и ресольв этой штуки в конечном итоге проблемы exit node.

     
     
  • 6.62, Аноним (49), 13:09, 15/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я писал клиенты и серверы под этим протоколы, и много использовал разные решения для них. Мое личное мнение - 4а лучше 5. 5 - беспросветный мрак, торжество любительского дизайна времён доткомов, который по какой-то причине стал стандартом. Любой средней руки программист может за вечер создать протокол лучше. HTTP CONNECT и то лучше, чем socks5. Хотя бы потому, что авторизацию можно подключить любую, и вот именно что не через жпу.

    То что в 4а хост передается в не предназначенном для этого поле - совершенно пофиг. Технически происходит все то же самое, что в 5, только проще. В реальности 5 полезен только поддержкой ipv6. До которой никому как не было дела, так и нет.  

     
     
  • 7.66, Аноним (-), 16:27, 16/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В этом твоя проблема и состоит Ты решил сэкономить на кодинге ценой всего остал... большой текст свёрнут, показать
     
     
  • 8.76, Аноним (49), 09:39, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Более простой код всегда более безопасный Меньше кода и неиспользуемых особенно... текст свёрнут, показать
     
     
  • 9.78, Аноним (-), 20:06, 18/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Верно только до известного предела Давайте крипто уберем А чо, пусть пароли по... большой текст свёрнут, показать
     
  • 2.28, Аноним (29), 17:21, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Удачи ему конфиг где это вообще работает найти. Сейчас найти софт не умеющий socks5 - довольно необычно, и проблемы socks4 - мягко говоря экзотика.
     
     
  • 3.50, Аноним (49), 05:24, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Реализация 4а - это одну структуру в сокет послать и прочитать код ответа. В отличие от 5, где никто и никогда не реализует полную спецификацию. Все используют socks5, но в сценарии, в котором справился бы 4а. Так уже сложилось.
     
     
  • 4.52, Аноним (-), 09:39, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как бы вам сказать? Срезание углов и безопасность живут по разную сторону улицы.
     

  • 1.2, Аноним (2), 15:04, 13/01/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +1 +/
     
     
  • 2.5, Аноним (5), 15:12, 13/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 3.10, Аноним (2), 15:21, 13/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.14, Аноним (6), 15:30, 13/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.16, Аноним (5), 15:51, 13/01/2023 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     
     
  • 5.18, Аноним (6), 16:18, 13/01/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 6.20, Аноним (6), 16:32, 13/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.31, Аноним (5), 17:25, 13/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 8.32, Аноним (6), 17:32, 13/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 9.70, Аноним (70), 17:47, 16/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 10.71, Аноним (6), 18:01, 16/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 11.73, Аноним (70), 18:26, 16/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 12.74, Аноним (6), 19:04, 16/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 13.77, Аноним (77), 18:16, 18/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 10.72, Аноним (6), 18:03, 16/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.24, Аноним (5), 17:08, 13/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.27, Аноним (6), 17:18, 13/01/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 8.33, Аноним (5), 17:35, 13/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 9.35, Аноним (6), 17:45, 13/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 10.65, Аноним (70), 15:54, 16/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (19)

  • 1.3, Аноним (5), 15:06, 13/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у нас тор уже можно?
     
     
  • 2.17, Аноним (17), 15:53, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это децентрализованная сеть, её невозможно полностью заблокировать, можно лишь сделать так, чтобы она работала хуже.
     
     
  • 3.19, Аноним (19), 16:21, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это децентрализованная сеть, её невозможно полностью заблокировать

    Ох уж этот Неуловимый Джо...

     
     
  • 4.21, Аноним (21), 16:34, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Tor это не неуловимый Джо. Это тысячи неуловимых Джо. Причём, каждый месяц несколько десятков Джо уходят и на их место приходят новые. Даже если ты отловишь их всех, всё равно придут новые, тебе придётся за этим постоянно следить
     
     
  • 5.22, Аноним (2), 16:43, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Tor это не неуловимый Джо. Это тысячи неуловимых Джо

    Верно, Тор - это тысячи Неуловимых Джо и десяток входных/выходных узлов, которые держатся нужными людьми.

     
     
  • 6.34, Аноним (5), 17:43, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > которые держатся нужными людьми.

    В РФ сабж уже можно?

     
     
  • 7.38, X86 (ok), 20:17, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что нельзя то?
     
     
  • 8.64, Аноним (70), 15:42, 16/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Разве год назад не запретили анонимные сети ... текст свёрнут, показать
     
  • 6.53, Аноним (-), 09:41, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > десяток входных/выходных узлов, которые держатся нужными людьми.

    Узлов там так то сильно более десятка, поэтому они держатся много кем. А тор еще и придирчив на тему выбора узлов в цепочках, так что вот именно удобно развесить имено всю цепочку на правильные хосты тот еще гимор. В целом масс шпионаж за Джо портится. А если кем-то прицельно уже заинтересовались, ну, э, ой.

     
  • 5.36, rshadow (ok), 18:40, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > если ты отловишь их всех, всё равно придут новые

    Это так не работает. Запретить, сделать пару показательных судов и все само рассосется. Никто не будет сидеть в тюрьме за то чтобы ты мог что-то анонимно скачать.

     
     
  • 6.55, Аноним (-), 09:45, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Одно рассосется, другое появится. Вон революционеров вообще по каторгам таскали. В количестве сильно более пары. И как, помогло оно жандармам?
     
     
  • 7.57, rshadow (ok), 17:54, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это уже из философии. Тут вон треть революционеров вообще из страны съеб*ла. Что бдет дальше не понятно.
    Одно радует что физиков пока особо не трогает государство. "необязательность исполнения" работает.
     
     
  • 8.69, Аноним (-), 16:37, 16/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так прошареный народец, вот им как раз видимо понятно Потому и Видимо не до... текст свёрнут, показать
     
  • 7.61, Аноним (19), 23:33, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > по каторгам таскали

    та каторга больше на курорт за счёт государства походила.

     
     
  • 8.67, Аноним (-), 16:30, 16/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну если это курорт то живете вы наверное в окрестностях замка саурона, не меньше... текст свёрнут, показать
     
  • 2.44, AKNOR (?), 21:38, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Уже сложно
     
  • 2.46, user (??), 00:36, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, 29.5.
     
  • 2.56, faa (?), 10:40, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сайт Torа разблокирован.
     

  • 1.8, Аноним (8), 15:18, 13/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо дидам за cleartext в DNS-запросах.
     
     
  • 2.9, Аноним (9), 15:19, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а как надо было?

    и в новости написано, что владелец днса может там что-то сделать, как неклитекст поможет?

     
  • 2.12, Аноним (12), 15:26, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    про шированный DNS слышал? DNS Over TLS называется
     
     
  • 3.13, Аноним (12), 15:26, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И DNSSEC еще
     
     
  • 4.23, Аноним (6), 16:48, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это не то, dnscrypt защищает днс траф, но провайдеры под колпаком.
     
     
  • 5.30, Аноним (30), 17:24, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тогда надо делать DNS of Blockchain
     
     
  • 6.54, Аноним (-), 09:43, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поздравляю, ты только что изобрел namecoin. Првда, кажется, его авторы сперли твою идею и даже воспользовались для этого машиной времени...
     
  • 3.60, Аноним (19), 23:27, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > про шированный DNS слышал?

    шированный?! И чем надо ширнуться?

     
  • 3.63, Аноним (49), 13:11, 15/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Шифрованный днс от провайдера типа Амазона или Клаудфлейр.
    Кому надо, все видят ваши запросы открытым текстом.
     

  • 1.47, user (??), 00:38, 14/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для защиты детей от псевдозаботы.
     
     
  • 2.48, Тот_Самый_Анонимус_ (?), 04:50, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Угу. Это «забота» о твоей анонимности. Настолько заботливая, что вот бэкдор обнаружили.
     
     
  • 3.68, Аноним (-), 16:32, 16/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Угу. Это «забота» о твоей анонимности. Настолько заботливая, что вот бэкдор обнаружили.

    Назвать вон то бэкдором можно только с жесткого перепою, ничерта не разбераясь в сетях.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру