a Tor eszközkészlet (0.3.5.11, 0.4.2.8, 0.4.3.6 és 4.4.2-alpha) korrekciós kiadásai, amelyek a Tor névtelen hálózat működésének megszervezésére szolgálnak. Megszűnt az új verziókban (CVE-2020-15572), amelyet a lefoglalt puffer határain kívüli memória elérése okoz. A biztonsági rés lehetővé teszi a távoli támadók számára, hogy a tor-folyamat összeomlását idézze elő. A probléma csak akkor jelentkezik, ha az NSS-könyvtárral építkezik (alapértelmezés szerint a Tor OpenSSL-lel épül fel, az NSS használatához pedig meg kell adni az „-enable-nss” jelzőt).
emellett azt tervezi, hogy megszünteti az onion Services protokoll második verziójának támogatását (korábban rejtett szolgáltatásoknak nevezték). Másfél évvel ezelőtt a 0.3.2.9-es kiadásban a felhasználók rendelkeztek az onion szolgáltatások protokolljának harmadik verziója, amely az 56 karakteres címekre való átállásról, a címtárszervereken keresztüli adatszivárgás elleni megbízhatóbb védelemről, a bővíthető moduláris felépítésről, valamint az SHA3, ed25519 és curve25519 algoritmusok használatáról nevezetes az SHA1, DH és helyett. RSA-1024.
A protokoll második változatát körülbelül 15 éve fejlesztették ki, és az elavult algoritmusok használata miatt a modern körülmények között nem tekinthető biztonságosnak. Figyelembe véve a régi ágak támogatásának lejártát, jelenleg minden jelenlegi Tor-átjáró támogatja a protokoll harmadik verzióját, amely alapértelmezés szerint új onion-szolgáltatások létrehozásakor kerül felkínálásra.
15. szeptember 2020-én a Tor elkezdi figyelmeztetni az üzemeltetőket és az ügyfeleket a protokoll második verziójának elavulásáról. 15. július 2021-én a protokoll második verziójának támogatása megszűnik a kódbázisból, 15. október 2021-én pedig a Tor új, stabil kiadása jelenik meg a régi protokoll támogatása nélkül. Így a régi onion szolgáltatások tulajdonosainak 16 hónap áll rendelkezésükre, hogy áttérjenek a protokoll új verziójára, amihez új, 56 karakteres címet kell generálni a szolgáltatáshoz.
Forrás: opennet.ru