Tor anonim şəbəkəsinin işini təşkil etmək üçün istifadə edilən Tor alət dəstinin düzəldici buraxılışları (0.3.5.11, 0.4.2.8, 0.4.3.6 və 4.4.2-alfa). Yeni versiyalarda aradan qaldırıldı (CVE-2020-15572), ayrılmış buferin hüdudlarından kənarda yaddaşa daxil olmaqdan qaynaqlanır. Zəiflik uzaqdan hücum edənə tor prosesinin çökməsinə səbəb olmağa imkan verir. Problem yalnız NSS kitabxanası ilə qurulduqda ortaya çıxır (standart olaraq Tor OpenSSL ilə qurulur və NSS-dən istifadə “-enable-nss” bayrağının göstərilməsini tələb edir).
Bundan əlavə, soğan xidmətləri protokolunun ikinci versiyasına (əvvəllər gizli xidmətlər adlanırdı) dəstəyi dayandırmağı planlaşdırır. Bir il yarım əvvəl, buraxılış 0.3.2.9, istifadəçilər idi 56 simvollu ünvanlara keçid, kataloq serverləri vasitəsilə məlumat sızmasından daha etibarlı qorunma, genişləndirilə bilən modul struktur və SHA3, DH və əvəzinə SHA25519, ed25519 və curve1 alqoritmlərinin istifadəsi ilə diqqət çəkən soğan xidmətləri üçün protokolun üçüncü versiyası. RSA-1024.
Protokolun ikinci variantı təxminən 15 il əvvəl hazırlanıb və köhnəlmiş alqoritmlərin istifadəsi səbəbindən müasir şəraitdə təhlükəsiz hesab edilə bilməz. Köhnə filiallar üçün dəstəyin bitməsini nəzərə alaraq, hazırda hər hansı bir cari Tor şlüz yeni soğan xidmətləri yaratarkən standart olaraq təklif olunan protokolun üçüncü versiyasını dəstəkləyir.
15 sentyabr 2020-ci il tarixində Tor operatorları və müştəriləri protokolun ikinci versiyasının köhnəlməsi barədə xəbərdar etməyə başlayacaq. 15 iyul 2021-ci ildə protokolun ikinci versiyası üçün dəstək kod bazasından silinəcək və 15 oktyabr 2021-ci ildə köhnə protokol dəstəyi olmadan Torun yeni stabil buraxılışı buraxılacaq. Beləliklə, köhnə soğan xidmətlərinin sahiblərinin protokolun yeni versiyasına keçmək üçün 16 ay vaxtı var ki, bu da xidmət üçün 56 simvoldan ibarət yeni ünvanın yaradılmasını tələb edir.
Mənbə: opennet.ru