Tor toolkit-ի ուղղիչ թողարկումները (0.3.5.11, 0.4.2.8, 0.4.3.6 և 4.4.2-alpha), որն օգտագործվում է Tor անանուն ցանցի գործունեությունը կազմակերպելու համար: Վերացված է նոր տարբերակներում (CVE-2020-15572), որը պայմանավորված է հատկացված բուֆերի սահմաններից դուրս հիշողություն մուտք գործելու հետևանքով: Խոցելիությունը թույլ է տալիս հեռավոր հարձակվողին առաջացնել tor գործընթացի խափանում: Խնդիրն ի հայտ է գալիս միայն NSS գրադարանով կառուցելիս (Լռակյաց, Tor-ը կառուցված է OpenSSL-ով, և NSS-ի օգտագործումը պահանջում է նշել «-enable-nss» դրոշակը):
Բացի նախատեսում է դադարեցնել սոխի ծառայությունների արձանագրության երկրորդ տարբերակի աջակցությունը (նախկինում կոչվում էր թաքնված ծառայություններ): Մեկուկես տարի առաջ 0.3.2.9 թողարկման մեջ օգտատերերն ունեին սոխի ծառայությունների համար արձանագրության երրորդ տարբերակը, որը աչքի է ընկնում 56 նիշանոց հասցեների անցումով, տեղեկատու սերվերների միջոցով տվյալների արտահոսքից ավելի հուսալի պաշտպանությամբ, ընդարձակվող մոդուլային կառուցվածքով և SHA3, DH և SHA25519-ի փոխարեն SHA25519, ed1 և curve1024 ալգորիթմների կիրառմամբ: RSA-XNUMX.
Արձանագրության երկրորդ տարբերակը մշակվել է մոտ 15 տարի առաջ և հնացած ալգորիթմների կիրառման պատճառով չի կարող անվտանգ համարվել ժամանակակից պայմաններում։ Հաշվի առնելով հին մասնաճյուղերի աջակցության ժամկետի ավարտը, ներկայումս ցանկացած ներկայիս Tor gateway-ն աջակցում է արձանագրության երրորդ տարբերակին, որն առաջարկվում է լռելյայն նոր սոխի ծառայություններ ստեղծելիս:
15 թվականի սեպտեմբերի 2020-ին Tor-ը կսկսի օպերատորներին և հաճախորդներին զգուշացնել արձանագրության երկրորդ տարբերակի անվավեր ճանաչման մասին: 15 թվականի հուլիսի 2021-ին արձանագրության երկրորդ տարբերակի աջակցությունը կհեռացվի կոդերի բազայից, իսկ 15 թվականի հոկտեմբերի 2021-ին Tor-ի նոր կայուն թողարկումը կթողարկվի առանց հին արձանագրության աջակցության։ Այսպիսով, հին սոխի ծառայությունների սեփականատերերը ունեն 16 ամիս՝ անցնելու արձանագրության նոր տարբերակին, որը պահանջում է ծառայության համար 56 նիշանոց նոր հասցե ստեղծել։
Source: opennet.ru