نسخه های اصلاحی جعبه ابزار Tor (0.3.5.11، 0.4.2.8، 0.4.3.6 و 4.4.2-alpha)، که برای سازماندهی عملیات شبکه ناشناس Tor استفاده می شود. در نسخه های جدید حذف شده است (CVE-2020-15572)، ناشی از دسترسی به حافظه خارج از محدوده بافر اختصاص داده شده است. این آسیب پذیری به مهاجم راه دور اجازه می دهد تا فرآیند tor را از کار بیاندازد. مشکل فقط هنگام ساخت با کتابخانه NSS ظاهر می شود (به طور پیش فرض Tor با OpenSSL ساخته شده است و استفاده از NSS مستلزم مشخص کردن پرچم "-enable-nss" است).
علاوه بر این برنامه ای برای قطع پشتیبانی از نسخه دوم پروتکل خدمات پیاز (که قبلاً سرویس های مخفی نامیده می شد). یک سال و نیم پیش، در نسخه 0.3.2.9، کاربران داشتند نسخه سوم پروتکل برای سرویس های پیاز، قابل توجه برای انتقال به آدرس های 56 کاراکتری، محافظت مطمئن تر در برابر نشت داده ها از طریق سرورهای دایرکتوری، ساختار ماژولار قابل توسعه و استفاده از الگوریتم های SHA3، ed25519 و curve25519 به جای SHA1، DH و RSA-1024.
نسخه دوم پروتکل حدود 15 سال پیش ساخته شد و به دلیل استفاده از الگوریتم های قدیمی، نمی توان آن را در شرایط مدرن ایمن دانست. با در نظر گرفتن انقضای پشتیبانی برای شاخه های قدیمی، در حال حاضر هر دروازه فعلی Tor از نسخه سوم پروتکل پشتیبانی می کند که به طور پیش فرض هنگام ایجاد سرویس های جدید پیاز ارائه می شود.
در 15 سپتامبر 2020، Tor شروع به هشدار به اپراتورها و مشتریان در مورد منسوخ شدن نسخه دوم پروتکل خواهد کرد. در 15 جولای 2021، پشتیبانی از نسخه دوم پروتکل از پایگاه کد حذف خواهد شد و در 15 اکتبر 2021، نسخه پایدار جدید Tor بدون پشتیبانی از پروتکل قدیمی منتشر خواهد شد. بنابراین، صاحبان سرویس های قدیمی پیاز 16 ماه فرصت دارند تا به نسخه جدیدی از پروتکل سوئیچ کنند، که نیاز به ایجاد یک آدرس 56 کاراکتری جدید برای این سرویس دارد.
منبع: opennet.ru