rilis korektif dari toolkit Tor (0.3.5.11, 0.4.2.8, 0.4.3.6 dan 4.4.2-alpha), digunakan untuk mengatur pengoperasian jaringan anonim Tor. Dieliminasi dalam versi baru (CVE-2020-15572), disebabkan oleh pengaksesan memori di luar batas buffer yang dialokasikan. Kerentanan ini memungkinkan penyerang jarak jauh menyebabkan proses tor terhenti. Masalahnya hanya muncul ketika membangun dengan perpustakaan NSS (secara default, Tor dibangun dengan OpenSSL, dan menggunakan NSS memerlukan penentuan tanda β-enable-nssβ).
tambahan berencana untuk menghentikan dukungan untuk versi kedua dari protokol layanan bawang (sebelumnya disebut layanan tersembunyi). Satu setengah tahun yang lalu, dalam rilis 0.3.2.9, pengguna memilikinya versi ketiga dari protokol untuk layanan bawang, terkenal karena transisi ke alamat 56 karakter, perlindungan yang lebih andal terhadap kebocoran data melalui server direktori, struktur modular yang dapat diperluas dan penggunaan algoritma SHA3, ed25519 dan curve25519 daripada SHA1, DH dan RSA-1024.
Versi kedua dari protokol ini dikembangkan sekitar 15 tahun yang lalu dan, karena penggunaan algoritma yang sudah ketinggalan zaman, tidak dapat dianggap aman dalam kondisi modern. Mempertimbangkan berakhirnya dukungan untuk cabang lama, saat ini semua gateway Tor saat ini mendukung protokol versi ketiga, yang ditawarkan secara default saat membuat layanan bawang baru.
Pada tanggal 15 September 2020, Tor akan mulai memperingatkan operator dan klien tentang penghentian protokol versi kedua. Pada tanggal 15 Juli 2021, dukungan untuk protokol versi kedua akan dihapus dari basis kode, dan pada tanggal 15 Oktober 2021, rilis stabil baru Tor akan dirilis tanpa dukungan untuk protokol lama. Dengan demikian, pemilik layanan bawang lama memiliki waktu 16 bulan untuk beralih ke protokol versi baru, yang memerlukan pembuatan alamat 56 karakter baru untuk layanan tersebut.
Sumber: opennet.ru