ProHoster > Blog > noticias de internet > Actualización Tor 0.3.5.11, 0.4.2.8 y 0.4.3.6 con eliminación de vulnerabilidad DoS

Actualización Tor 0.3.5.11, 0.4.2.8 y 0.4.3.6 con eliminación de vulnerabilidad DoS

Presentado Versiones correctivas del kit de herramientas Tor (0.3.5.11, 0.4.2.8, 0.4.3.6 y 4.4.2-alpha), utilizadas para organizar el funcionamiento de la red anónima Tor. Eliminado en nuevas versiones. vulnerabilidad (CVE-2020-15572), causado por el acceso a la memoria fuera de los límites del búfer asignado. La vulnerabilidad permite que un atacante remoto provoque la falla del proceso Tor. El problema solo aparece cuando se compila con la biblioteca NSS (de forma predeterminada, Tor se compila con OpenSSL y el uso de NSS requiere especificar el indicador “-enable-nss”).

además presentado planea suspender el soporte para la segunda versión del protocolo de servicios cebolla (anteriormente llamado servicios ocultos). Hace un año y medio, en la versión 0.3.2.9, los usuarios tenían propuesto la tercera versión del protocolo para servicios cebolla, que destaca por la transición a direcciones de 56 caracteres, una protección más confiable contra fugas de datos a través de servidores de directorio, una estructura modular extensible y el uso de los algoritmos SHA3, ed25519 y curve25519 en lugar de SHA1, DH y RSA-1024.

La segunda versión del protocolo se desarrolló hace unos 15 años y, debido al uso de algoritmos obsoletos, no puede considerarse segura en las condiciones modernas. Teniendo en cuenta la expiración del soporte para ramas antiguas, actualmente cualquier puerta de enlace Tor actual admite la tercera versión del protocolo, que se ofrece de forma predeterminada al crear nuevos servicios cebolla.

El 15 de septiembre de 2020, Tor comenzará a advertir a los operadores y clientes sobre la obsolescencia de la segunda versión del protocolo. El 15 de julio de 2021, se eliminará del código base la compatibilidad con la segunda versión del protocolo y el 15 de octubre de 2021, se lanzará una nueva versión estable de Tor sin compatibilidad con el protocolo anterior. Así, los propietarios de antiguos servicios cebolla tienen 16 meses para cambiar a una nueva versión del protocolo, lo que requiere generar una nueva dirección de 56 caracteres para el servicio.

Fuente: opennet.ru

Añadir un comentario