Tor-työkalupaketin korjaavat julkaisut (0.3.5.11, 0.4.2.8, 0.4.3.6 ja 4.4.2-alpha), joita käytetään Tor-anonyymin verkon toiminnan järjestämiseen. Poistettu uusissa versioissa (CVE-2020-15572), joka johtuu muistin käyttämisestä varatun puskurin rajojen ulkopuolella. Haavoittuvuuden ansiosta etähyökkääjä voi aiheuttaa tor-prosessin kaatumisen. Ongelma ilmenee vain, kun rakennetaan NSS-kirjaston avulla (oletusarvoisesti Tor on rakennettu OpenSSL:llä, ja NSS:n käyttö edellyttää "-enable-nss"-lipun määrittämistä).
lisäksi aikovat lopettaa tuen toiselle sipulipalveluprotokollan versiolle (aiemmin nimellä piilotetut palvelut). Puolitoista vuotta sitten julkaisussa 0.3.2.9 käyttäjillä oli sipulipalveluiden protokollan kolmas versio, joka tunnetaan siirtymisestä 56-merkkisiin osoitteisiin, luotettavammasta suojauksesta hakemistopalvelimien kautta tapahtuvaa tietovuodosta, laajennettavissa olevasta modulaarisesta rakenteesta ja SHA3-, ed25519- ja curve25519-algoritmien käytöstä SHA1:n, DH:n ja RSA-1024.
Protokollan toinen versio kehitettiin noin 15 vuotta sitten, eikä sitä voida pitää turvallisena nykyaikaisissa olosuhteissa vanhentuneiden algoritmien käytön vuoksi. Ottaen huomioon vanhojen haarojen tuen päättymisen, tällä hetkellä mikä tahansa nykyinen Tor-yhdyskäytävä tukee protokollan kolmatta versiota, joka tarjotaan oletuksena uusia sipulipalveluita luotaessa.
15. syyskuuta 2020 Tor alkaa varoittaa operaattoreita ja asiakkaita protokollan toisen version vanhentumisesta. 15. heinäkuuta 2021 tuki protokollan toiselle versiolle poistetaan koodikannasta, ja 15. lokakuuta 2021 julkaistaan uusi vakaa Torin julkaisu ilman vanhan protokollan tukea. Vanhojen sipulipalvelujen omistajilla on siis 16 kuukautta aikaa siirtyä uuteen protokollaversioon, mikä edellyttää uuden 56-merkkisen osoitteen generoimista palvelulle.
Lähde: opennet.ru