Aggiornamento di Tor 0.3.5.10, 0.4.1.9 e 0.4.2.7 con la rimozione delle vulnerabilità DoS

Presentati correzioni degli strumenti di Tor (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha) utilizzati per l'organizzazione della rete anonima Tor. Nelle nuove versioni sono state corrette due vulnerabilità:

  • CVE-2020-10592 — può essere sfruttata da qualsiasi malintenzionato per avviare un attacco di denial of service sui relay. L'attacco può anche essere condotto dai server di directory di Tor per attaccare i client e i servizi nascosti. L'attaccante può creare condizioni che portano a un carico eccessivo sulla CPU, compromettendo il funzionamento normale per alcuni secondi o minuti (ripetendo l'attacco si può estendere il DoS per lungo tempo). Il problema si manifesta a partire dalla versione 0.2.1.5-alpha.
  • CVE-2020-10593 — una fuga di memoria avviata da remoto che si verifica durante il doppio accordo di celle aggiuntive (circuit padding) per la stessa catena.

Si può anche notare che in Tor Browser 9.0.6 rimane non corretta una vulnerabilità nel componente NoScript, che consente di avviare codice JavaScript in modalità di protezione «Safest». Per coloro per cui il divieto di esecuzione di JavaScript è importante, si consiglia di disabilitare completamente l'uso di JavaScript nel browser tramite la modifica del parametro javascript.enabled in about:config.

Si è tentato di risolvere l'inconveniente in NoScript 11.0.17, ma come si è rivelato, la correzione proposta non risolve completamente il problema. A giudicare dalle modifiche nella versione successivamente rilasciata NoScript 11.0.18, il problema non è stato risolto nemmeno in questo caso. In Tor Browser è attivato l'aggiornamento automatico di NoScript, quindi non appena sarà disponibile una correzione, verrà fornita automaticamente.

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster