ProHoster > Blog > netfréttir > Uppfærðu Tor 0.3.5.10, 0.4.1.9 og 0.4.2.7 með því að útrýma DoS varnarleysi
Uppfærðu Tor 0.3.5.10, 0.4.1.9 og 0.4.2.7 með því að útrýma DoS varnarleysi
Kynnt leiðréttingarútgáfur af Tor verkfærakistunni (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alfa), notuð til að skipuleggja vinnu nafnlausa Tor netsins. Nýju útgáfurnar laga tvo veikleika:
CVE-2020-10592 - getur verið notað af hvaða árásarmanni sem er til að koma af stað neitun á þjónustu við gengi. Árásin getur einnig verið framkvæmd af Tor skráarþjónum til að ráðast á viðskiptavini og falinn þjónustu. Árásarmaður getur skapað aðstæður sem leiða til of mikils álags á örgjörva, sem truflar eðlilega notkun í nokkrar sekúndur eða mínútur (með því að endurtaka árásina er hægt að framlengja DoS í langan tíma). Vandamálið birtist frá útgáfu 0.2.1.5-alfa.
CVE-2020-10593 — fjarstýrður minnisleki sem á sér stað þegar hringrásarfylling er tvöföld samsvörun fyrir sömu keðju.
Einnig má geta þess að í Tor Browser 9.0.6 varnarleysi í viðbótinni er óviðeigandi NoScript, sem gerir þér kleift að keyra JavaScript kóða í öruggustu verndarstillingunni. Fyrir þá sem mikilvægt er að banna að keyra JavaScript er mælt með því að slökkva tímabundið á notkun JavaScript í vafranum í about:config með því að breyta javascript.enabled færibreytunni í about:config.
Þeir reyndu að útrýma gallanum í NoScript 11.0.17, en eins og það kom í ljós leysir fyrirhuguð lagfæring ekki vandann að fullu. Miðað við breytingarnar í næstu útgáfu NoScript 11.0.18, vandamálið er heldur ekki leyst. Tor vafri inniheldur sjálfvirkar NoScript uppfærslur, þannig að þegar lagfæring er tiltæk verður hún afhent sjálfkrafa.