korektivna izdanja Tor kompleta alata (0.3.5.11, 0.4.2.8, 0.4.3.6 i 4.4.2-alpha), koja se koriste za organizovanje rada anonimne Tor mreže. Eliminisano u novim verzijama (CVE-2020-15572), uzrokovano pristupanjem memoriji izvan granica dodijeljenog bafera. Ranjivost omogućava udaljenom napadaču da izazove pad tor procesa. Problem se pojavljuje samo kada se gradi sa NSS bibliotekom (podrazumevano, Tor je izgrađen sa OpenSSL-om, a korišćenje NSS-a zahteva navođenje oznake “-enable-nss”).
dodatno planiraju ukidanje podrške za drugu verziju protokola usluga luka (prethodno nazvane skrivene usluge). Prije godinu i po, u izdanju 0.3.2.9, korisnici su imali treća verzija protokola za onion servise, prepoznatljiva po prelasku na adrese od 56 znakova, pouzdanijoj zaštiti od curenja podataka preko servera direktorija, proširivoj modularnoj strukturi i korištenju algoritama SHA3, ed25519 i curve25519 umjesto SHA1, DH i RSA-1024.
Druga verzija protokola razvijena je prije 15-ak godina i, zbog upotrebe zastarjelih algoritama, ne može se smatrati sigurnom u savremenim uvjetima. Uzimajući u obzir istek podrške za stare grane, trenutno bilo koji trenutni Tor gateway podržava treću verziju protokola, koja se podrazumevano nudi prilikom kreiranja novih onion servisa.
15. septembra 2020. Tor će početi da upozorava operatere i klijente o zastarevanju druge verzije protokola. 15. jula 2021. podrška za drugu verziju protokola će biti uklonjena iz baze koda, a 15. oktobra 2021. biće objavljeno novo stabilno izdanje Tor-a bez podrške za stari protokol. Dakle, vlasnici starih onion servisa imaju 16 mjeseci da pređu na novu verziju protokola, što zahtijeva generiranje nove adrese od 56 znakova za uslugu.
izvor: opennet.ru