Korrekturversionen des Tor-Toolkits (0.3.5.11, 0.4.2.8, 0.4.3.6 und 4.4.2-alpha), die zur Organisation des Betriebs des anonymen Tor-Netzwerks verwendet werden. In neuen Versionen eliminiert (CVE-2020-15572), verursacht durch Zugriff auf Speicher außerhalb der Grenzen des zugewiesenen Puffers. Die Sicherheitslücke ermöglicht es einem Remote-Angreifer, den Tor-Prozess zum Absturz zu bringen. Das Problem tritt nur beim Erstellen mit der NSS-Bibliothek auf (standardmäßig wird Tor mit OpenSSL erstellt und die Verwendung von NSS erfordert die Angabe des Flags „-enable-nss“).
zusätzlich planen, die Unterstützung für die zweite Version des Onion-Services-Protokolls (früher Hidden Services genannt) einzustellen. Vor anderthalb Jahren, in Version 0.3.2.9, hatten Benutzer dies getan Die dritte Version des Protokolls für Onion-Dienste zeichnet sich durch den Übergang zu 56-stelligen Adressen, einen zuverlässigeren Schutz vor Datenlecks durch Verzeichnisserver, eine erweiterbare modulare Struktur und die Verwendung der Algorithmen SHA3, ed25519 und Curve25519 anstelle von SHA1, DH und aus RSA-1024.
Die zweite Version des Protokolls wurde vor etwa 15 Jahren entwickelt und kann aufgrund der Verwendung veralteter Algorithmen unter modernen Bedingungen nicht als sicher angesehen werden. Unter Berücksichtigung des Auslaufens der Unterstützung für alte Zweige unterstützt derzeit jedes aktuelle Tor-Gateway die dritte Version des Protokolls, die beim Erstellen neuer Onion-Dienste standardmäßig angeboten wird.
Am 15. September 2020 wird Tor damit beginnen, Betreiber und Kunden vor der veralteten zweiten Version des Protokolls zu warnen. Am 15. Juli 2021 wird die Unterstützung für die zweite Version des Protokolls aus der Codebasis entfernt und am 15. Oktober 2021 wird eine neue stabile Version von Tor ohne Unterstützung für das alte Protokoll veröffentlicht. Somit haben Besitzer alter Onion-Dienste 16 Monate Zeit, auf eine neue Version des Protokolls umzusteigen, was die Generierung einer neuen 56-stelligen Adresse für den Dienst erfordert.
Source: opennet.ru