Tori tööriistakomplekti (0.3.5.11, 0.4.2.8, 0.4.3.6 ja 4.4.2-alpha) korrigeerivad väljalasked, mida kasutatakse Tor anonüümse võrgu töö korraldamiseks. Uutes versioonides kõrvaldatud (CVE-2020-15572), mille põhjuseks on juurdepääs mälule väljaspool eraldatud puhvri piire. Haavatavus võimaldab kaugründajal põhjustada tor-protsessi krahhi. Probleem ilmneb ainult NSS-i teegiga ehitamisel (vaikimisi on Tor ehitatud OpenSSL-iga ja NSS-i kasutamine nõuab lipu "-enable-nss" määramist).
Lisaks kavatsete lõpetada sibulate teenuste protokolli teise versiooni (varem nimetati peidetud teenusteks) toetamise. Poolteist aastat tagasi, versioonis 0.3.2.9, oli kasutajatel sibulateenuste protokolli kolmas versioon, mis on silmapaistev 56-kohalistele aadressidele ülemineku, usaldusväärsema kaitse andmelekkete eest kataloogiserverite kaudu, laiendatava modulaarse struktuuri ning SHA3, ed25519 ja curve25519 algoritmide kasutamise poolest SHA1, DH ja asemel. RSA-1024.
Protokolli teine versioon töötati välja umbes 15 aastat tagasi ja vananenud algoritmide kasutamise tõttu ei saa seda tänapäevastes tingimustes ohutuks pidada. Võttes arvesse vanade harude toe aegumist, toetab praegu iga praegune Tori lüüs protokolli kolmandat versiooni, mida uute sibulateenuste loomisel vaikimisi pakutakse.
15. septembril 2020 hakkab Tor operaatoreid ja kliente hoiatama protokolli teise versiooni aegumise eest. 15. juulil 2021 eemaldatakse koodibaasist protokolli teise versiooni tugi ja 15. oktoobril 2021 ilmub Tori uus stabiilne väljalase, ilma vana protokolli toeta. Seega on vanade sibulateenuste omanikel aega 16 kuud, et minna üle uuele protokolli versioonile, mis nõuab teenuse jaoks uue 56-kohalise aadressi genereerimist.
Allikas: opennet.ru