Korrigerende udgivelser af Tor-værktøjssættet (0.3.5.14, 0.4.4.8, 0.4.5.7), der bruges til at organisere driften af det anonyme Tor-netværk, præsenteres. De nye versioner eliminerer to sårbarheder, der kan bruges til at udføre DoS-angreb på Tor-netværksknuder:
- CVE-2021-28089 - en angriber kan forårsage et lammelsesangreb på alle Tor-noder og klienter ved at skabe en stor CPU-belastning, der opstår ved behandling af bestemte typer data. Sårbarheden er mest farlig for relæer og Directory Authority-servere, som er forbindelsespunkter til netværket og er ansvarlige for at autentificere og sende til brugeren en liste over gateways, der behandler trafik. Directory-servere er de nemmeste at angribe, fordi de tillader enhver at uploade data. Et angreb mod relæer og klienter kan organiseres ved at downloade mappens cache.
- CVE-2021-28090 - en angriber kan få en biblioteksserver til at gå ned ved at transmittere en specialdesignet adskilt signatur, som bruges til at formidle information om konsensustilstanden på netværket.
Kilde: opennet.ru