ОбновлСниС Tor 0.3.5.10, 0.4.1.9 ΠΈ 0.4.2.7 с устранСниСм DoS-уязвимости

ΠŸΡ€Π΅Π΄ΡΡ‚Π°Π²Π»Π΅Π½Ρ‹ ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ выпуски инструмСнтария Tor ( 0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠ³ΠΎ для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΠΎΠΉ сСти Tor. Π’ Π½ΠΎΠ²Ρ‹Ρ… вСрсиях устранСны Π΄Π²Π΅ уязвимости:

  • CVE-2020-10592 — ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π»ΡŽΠ±Ρ‹ΠΌ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠΌ для инициирования ΠΎΡ‚ΠΊΠ°Π·Π° Π² обслуТивании Ρ€Π΅Π»Π΅Π΅Π². Атака Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½Π° со стороны сСрвСров ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³ΠΎΠ² Tor для Π°Ρ‚Π°ΠΊΠΈ Π½Π° ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² ΠΈ скрытых сСрвисов. ΠΡ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΠΎΠ·Π΄Π°Ρ‚ΡŒ условия, приводящиС ΠΊ слишком большой Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠ΅ Π½Π° CPU, Π½Π°Ρ€ΡƒΡˆΠ°ΡŽΡ‰Π΅ΠΉ Π½ΠΎΡ€ΠΌΠ°Π»ΡŒΠ½ΠΎΡŽ Ρ€Π°Π±ΠΎΡ‚Ρƒ Π½Π° нСсколько сСкунд ΠΈΠ»ΠΈ ΠΌΠΈΠ½ΡƒΡ‚ (повторяя Π°Ρ‚Π°ΠΊΡƒ ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°ΡΡ‚ΡΠ½ΡƒΡ‚ΡŒ DoS Π½Π° Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ врСмя). ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся начиная с выпуска 0.2.1.5-alpha.
  • CVE-2020-10593 — ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎ инициируСмая ΡƒΡ‚Π΅Ρ‡ΠΊΠ° памяти, Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‰Π°Ρ ΠΏΡ€ΠΈ Π΄Π²ΠΎΠΉΠ½ΠΎΠΌ согласовании Π΄ΠΎΠ±Π°Π²ΠΎΡ‡Π½Ρ‹Ρ… ячССк (circuit padding) для ΠΎΠ΄Π½ΠΎΠΉ ΠΈ Ρ‚ΠΎΠΉ ΠΆΠ΅ Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠΈ.

Π’Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π² Tor Browser 9.0.6 остаётся нСисправлСнной ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² Π΄ΠΎΠΏΠΎΠ»Π½Π΅Π½ΠΈΠΈ NoScript, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ запуск ΠΊΠΎΠ΄Π° JavaScript Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ Π·Π°Ρ‰ΠΈΡ‚Ρ‹ «Safest». Для Ρ‚Π΅Ρ…, ΠΊΠΎΠΌΡƒ Π·Π°ΠΏΡ€Π΅Ρ‚ Π½Π° Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ JavaScript Π²Π°ΠΆΠ΅Π½, рСкомСндуСтся Π½Π° врСмя Π² about:config ΠΏΠΎΠ»Π½ΠΎΡΡ‚ΡŒΡŽ Π·Π°ΠΏΡ€Π΅Ρ‚ΠΈΡ‚ΡŒ использованиСм Π² Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π΅ JavaScript Ρ‡Π΅Ρ€Π΅Π· ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° javascript.enabled Π² about:config.

НСдоработку ΠΏΠΎΠΏΡ‹Ρ‚Π°Π»ΠΈΡΡŒ ΡƒΡΡ‚Ρ€Π°Π½ΠΈΡ‚ΡŒ Π² NoScript 11.0.17, Π½ΠΎ ΠΊΠ°ΠΊ оказалось, ΠΏΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½Π½ΠΎΠ΅ исправлСниС ΠΏΠΎΠ»Π½ΠΎΡΡ‚ΡŒΡŽ Π½Π΅ Ρ€Π΅ΡˆΠ°Π΅Ρ‚ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡƒ. Будя ΠΏΠΎ измСнСниям Π² слСдом Π²Ρ‹ΠΏΡƒΡ‰Π΅Π½Π½ΠΎΠΌ Ρ€Π΅Π»ΠΈΠ·Π΅ NoScript 11.0.18, ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Ρ‚Π°ΠΊΠΆΠ΅ Π½Π΅ Ρ€Π΅ΡˆΠ΅Π½Π°. Π’ Tor Browser Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΎ автоматичСскоС ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ NoScript, поэтому послС появлСния исправлСния, ΠΎΠ½ΠΎ Π±ΡƒΠ΄Π΅Ρ‚ доставлСно автоматичСски.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ