versions correctives de la boîte à outils Tor (0.3.5.11, 0.4.2.8, 0.4.3.6 et 4.4.2-alpha), utilisées pour organiser le fonctionnement du réseau anonyme Tor. Éliminé dans les nouvelles versions (CVE-2020-15572), provoqué par l'accès à la mémoire en dehors des limites du tampon alloué. Cette vulnérabilité permet à un attaquant distant de provoquer le crash du processus Tor. Le problème n'apparaît que lors de la construction avec la bibliothèque NSS (par défaut, Tor est construit avec OpenSSL et l'utilisation de NSS nécessite de spécifier l'indicateur « -enable-nss »).
en outre envisagez d'interrompre la prise en charge de la deuxième version du protocole de services onion (anciennement appelé services cachés). Il y a un an et demi, dans la version 0.3.2.9, les utilisateurs la troisième version du protocole pour les services onion, remarquable par le passage à des adresses à 56 caractères, une protection plus fiable contre les fuites de données via les serveurs d'annuaire, une structure modulaire extensible et l'utilisation des algorithmes SHA3, ed25519 et courbe25519 au lieu de SHA1, DH et RSA-1024.
La deuxième version du protocole a été développée il y a environ 15 ans et, en raison de l'utilisation d'algorithmes obsolètes, ne peut être considérée comme sûre dans les conditions modernes. Compte tenu de l'expiration de la prise en charge des anciennes branches, actuellement toute passerelle Tor actuelle prend en charge la troisième version du protocole, qui est proposée par défaut lors de la création de nouveaux services onion.
Le 15 septembre 2020, Tor commencera à avertir les opérateurs et les clients de la dépréciation de la deuxième version du protocole. Le 15 juillet 2021, la prise en charge de la deuxième version du protocole sera supprimée de la base de code, et le 15 octobre 2021, une nouvelle version stable de Tor sera publiée sans prise en charge de l'ancien protocole. Ainsi, les propriétaires d'anciens services onion disposent de 16 mois pour passer à une nouvelle version du protocole, ce qui nécessite de générer une nouvelle adresse de 56 caractères pour le service.
Source: opennet.ru