korrektiewe vrystellings van die Tor-gereedskapstel (0.3.5.11, 0.4.2.8, 0.4.3.6 en 4.4.2-alfa), wat gebruik word om die werking van die Tor-anonieme netwerk te organiseer. In nuwe weergawes uitgeskakel (CVE-2020-15572), wat veroorsaak word deur toegang tot geheue buite die grense van die toegewese buffer. Die kwesbaarheid laat 'n afgeleë aanvaller toe om die tor-proses te laat ineenstort. Die probleem verskyn slegs wanneer met die NSS-biblioteek gebou word (by verstek is Tor gebou met OpenSSL, en die gebruik van NSS vereis dat die "-enable-nss" vlag gespesifiseer word).
Daarbenewens beplan om ondersteuning vir die tweede weergawe van die uiediensteprotokol (voorheen verborge dienste genoem) te staak. 'n Jaar en 'n half gelede, in vrystelling 0.3.2.9, het gebruikers die derde weergawe van die protokol vir uiedienste, opvallend vir die oorgang na 56-karakteradresse, meer betroubare beskerming teen datalekkasies deur gidsbedieners, 'n uitbreidbare modulêre struktuur en die gebruik van SHA3, ed25519 en curve25519 algoritmes in plaas van SHA1, DH en RSA-1024.
Die tweede weergawe van die protokol is sowat 15 jaar gelede ontwikkel en kan weens die gebruik van verouderde algoritmes nie in moderne toestande as veilig beskou word nie. Met inagneming van die verstryking van ondersteuning vir ou takke, ondersteun tans enige huidige Tor-poort die derde weergawe van die protokol, wat by verstek aangebied word wanneer nuwe uiedienste geskep word.
Op 15 September 2020 sal Tor operateurs en kliënte begin waarsku oor die afskaffing van die tweede weergawe van die protokol. Op 15 Julie 2021 sal ondersteuning vir die tweede weergawe van die protokol van die kodebasis verwyder word, en op 15 Oktober 2021 sal 'n nuwe stabiele weergawe van Tor vrygestel word sonder ondersteuning vir die ou protokol. Eienaars van ou uiedienste het dus 16 maande om na 'n nuwe weergawe van die protokol oor te skakel, wat vereis dat 'n nuwe 56-karakteradres vir die diens gegenereer word.
Bron: opennet.ru