Estas prezentitaj korektaj eldonoj de la ilaro Tor (0.3.5.14, 0.4.4.8, 0.4.5.7), uzataj por organizi la funkciadon de la anonima reto Tor. La novaj versioj forigas du vundeblecojn, kiuj povas esti uzataj por fari DoS-atakojn sur Tor-retaj nodoj:
- CVE-2021-28089 - atakanto povas kaŭzi neon de servo al iuj Tor-nodoj kaj klientoj kreante grandan CPU-ŝarĝon, kiu okazas dum prilaborado de certaj specoj de datumoj. La vundebleco estas plej danĝera por relajsoj kaj serviloj de Directory Authority, kiuj estas konektpunktoj al la reto kaj respondecas pri aŭtentikigo kaj elsendo al la uzanto liston de enirejoj, kiuj prilaboras trafikon. Adresaj serviloj estas la plej facile atakeblaj ĉar ili permesas al iu ajn alŝuti datumojn. Atako kontraŭ relajsoj kaj klientoj povas esti organizita elŝutante la dosierujon.
- CVE-2021-28090 - atakanto povas kaŭzi kraŝon de dosieruja servilo per elsendado de aparte desegnita subskribo, kiu estas uzata por transdoni informojn pri la stato de konsento en la reto.
fonto: opennet.ru