opravná vydání sady nástrojů Tor (0.3.5.11, 0.4.2.8, 0.4.3.6 a 4.4.2-alpha), která se používá k organizaci provozu anonymní sítě Tor. V nových verzích odstraněno (CVE-2020-15572), způsobené přístupem k paměti mimo hranice přidělené vyrovnávací paměti. Tato chyba zabezpečení umožňuje vzdálenému útočníkovi způsobit selhání procesu tor. Problém se objevuje pouze při sestavování pomocí knihovny NSS (ve výchozím nastavení je Tor postaven s OpenSSL a použití NSS vyžaduje zadání příznaku „-enable-nss“).
Dále plánuje ukončit podporu pro druhou verzi protokolu služeb cibule (dříve nazývané skryté služby). Před rokem a půl, ve verzi 0.3.2.9, měli uživatelé třetí verze protokolu pro onion služby, pozoruhodná přechodem na 56znakové adresy, spolehlivější ochranou proti únikům dat přes adresářové servery, rozšiřitelná modulární struktura a použití algoritmů SHA3, ed25519 a curve25519 namísto SHA1, DH a RSA-1024.
Druhá verze protokolu byla vyvinuta asi před 15 lety a vzhledem k použití zastaralých algoritmů ji nelze v moderních podmínkách považovat za bezpečnou. S přihlédnutím k vypršení podpory pro staré větve aktuálně jakákoli současná brána Tor podporuje třetí verzi protokolu, která je standardně nabízena při vytváření nových onion služeb.
15. září 2020 začne Tor upozorňovat operátory a klienty na ukončení podpory druhé verze protokolu. 15. července 2021 bude z kódové základny odstraněna podpora pro druhou verzi protokolu a 15. října 2021 bude uvolněna nová stabilní verze Tor bez podpory starého protokolu. Majitelé starých cibulových služeb tak mají 16 měsíců na to, aby přešli na novou verzi protokolu, což vyžaduje vygenerování nové 56znakové adresy pro službu.
Zdroj: opennet.ru