Preséntanse versións correctivas do kit de ferramentas Tor (0.3.5.14, 0.4.4.8, 0.4.5.7), utilizadas para organizar o funcionamento da rede anónima Tor. As novas versións eliminan dúas vulnerabilidades que se poden usar para levar a cabo ataques DoS nos nodos da rede Tor:
- CVE-2021-28089: un atacante pode provocar unha denegación de servizo a calquera nodo e cliente Tor ao crear unha gran carga de CPU que se produce ao procesar certos tipos de datos. A vulnerabilidade é máis perigosa para os relés e os servidores de Directory Authority, que son puntos de conexión á rede e son os encargados de autenticar e transmitir ao usuario unha lista de pasarelas que procesan o tráfico. Os servidores de directorios son os máis fáciles de atacar porque permiten que calquera poida cargar datos. Pódese organizar un ataque contra relés e clientes descargando a caché do directorio.
- CVE-2021-28090: un atacante pode provocar un fallo dun servidor de directorio ao transmitir unha sinatura separada deseñada especialmente, que se usa para transmitir información sobre o estado de consenso na rede.
Fonte: opennet.ru