Tor 0.3.5.10, 0.4.1.9 ja 0.4.2.7 uuendus DoS-haavatavuste likvideerimisega

Esitatud Tor'i tööriistade parandavad väljalasked (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha) kasutatakse Tor'i anonüümse võrgu töö korraldamiseks. Uutes versioonides on kõrvaldatud kaks haavatavust:

  • CVE-2020-10592 — võib kasutada iga kurjategija, et algatada teenuse katkestamise rünnakut (DoS) releedega. Rünnakut saab samuti läbi viia Tor'i kataloogiserverite poolt, et rünnata kliente ja varjatud teenuseid. Ründaja võib tekitada tingimusi, mis põhjustavad liiga suurt koormust CPU-le, häirides normaalset toimimist paar sekundit või minutit (korda rünnakut, et pikendada DoS'i pikka aega). Probleem ilmus alates väljalaskest 0.2.1.5-alpha.
  • CVE-2020-10593 — kaugjuhtimise teel algatatud mäluleke, mis tekib sama ahelaga (circuit padding) seotud lisarakenduste kaks korda kinnitamisel.

Samuti tuleb märkida, et Tor Browser 9.0.6 sisaldab endiselt parandamata haavatavust lisandis NoScript, mis võimaldab käivitada JavaScript-koodi 'Safest' kaitsmise režiimis. Neile, kelle jaoks JavaScripti täitmine on oluline, soovitatakse ajutiselt keelata JavaScripti kasutamine brauseris, muutes seadet javascript.enabled lehelt about:config.

Puudujääk üritati kõrvaldada versioonis NoScript 11.0.17, kuid nagu selgus, ei lahenda pakutud parandus probleemi täielikult. Judides järgnevate muudatuste põhjal välja antud versioonis NoScript 11.0.18, probleem ei ole samuti lahendatud. Tor Brauseris on NoScripti automaatne värskendamine sisse lülitatud, seega pärast paranduse ilmumist saadetakse see automaatselt.

Allikas: opennet.ru

Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster