korektaj eldonoj de la ilaro Tor (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), uzataj por organizi la laboron de la anonima reto Tor. La novaj versioj riparas du vundeblecojn:
- - povas esti uzata de iu ajn atakanto por iniciati neon de servo al relajsoj. La atako ankaŭ povas esti farita de Tor-adresaj serviloj por ataki klientojn kaj kaŝitajn servojn. Atakanto povas krei kondiĉojn, kiuj kondukas al tro da ŝarĝo sur la CPU, interrompante normalan operacion dum kelkaj sekundoj aŭ minutoj (ripetante la atakon, la DoS povas esti etendita dum longa tempo). La problemo aperas ekde eldono 0.2.1.5-alpha.
- — malproksime iniciatita memorliko, kiu okazas kiam cirkvitplenigo estas duoble egalita por la sama ĉeno.
Oni povas ankaŭ rimarki, ke en vundebleco en la aldonaĵo restas nefiksita , kiu ebligas al vi ruli JavaScript-kodon en la Plej sekura protekta reĝimo. Por tiuj, por kiuj malpermeso de ekzekuto de JavaScript estas grava, oni rekomendas provizore malŝalti la uzon de JavaScript en la retumilo en about:config ŝanĝante la parametron javascript.enabled en about:config.
Ili provis elimini la difekton en , sed kiel evidentiĝis, la proponita riparo ne tute solvas la problemon. Juĝante laŭ la ŝanĝoj en la venonta liberigita eldono , la problemo ankaŭ ne estas solvita. Tor-Retumilo inkluzivas aŭtomatajn NoScript-ĝisdatigojn, do kiam riparo estas disponebla, ĝi estos liverita aŭtomate.
fonto: opennet.ru