ProHoster > blog > notizie internet > Aggiornamento Tor 0.3.5.11, 0.4.2.8 e 0.4.3.6 con eliminazione della vulnerabilità DoS

Aggiornamento Tor 0.3.5.11, 0.4.2.8 e 0.4.3.6 con eliminazione della vulnerabilità DoS

Presentata versioni correttive del toolkit Tor (0.3.5.11, 0.4.2.8, 0.4.3.6 e 4.4.2-alpha), utilizzate per organizzare il funzionamento della rete anonima Tor. Eliminato nelle nuove versioni vulnerabilità (CVE-2020-15572), causato dall'accesso alla memoria al di fuori dei limiti del buffer allocato. La vulnerabilità consente a un utente malintenzionato remoto di causare l'arresto anomalo del processo Tor. Il problema si verifica solo quando si compila con la libreria NSS (per impostazione predefinita, Tor è compilato con OpenSSL e l'utilizzo di NSS richiede la specifica del flag "-enable-nss").

Inoltre presentata prevede di interrompere il supporto per la seconda versione del protocollo Onion Services (precedentemente denominata servizi nascosti). Un anno e mezzo fa, nella versione 0.3.2.9, gli utenti avevano proposto la terza versione del protocollo per i servizi Onion, caratterizzata dal passaggio agli indirizzi a 56 caratteri, una protezione più affidabile contro le fughe di dati attraverso i server di directory, una struttura modulare estensibile e l'uso degli algoritmi SHA3, ed25519 e curve25519 invece di SHA1, DH e RSA-1024.

La seconda versione del protocollo è stata sviluppata circa 15 anni fa e, a causa dell'utilizzo di algoritmi obsoleti, non può essere considerata sicura nelle condizioni moderne. Tenendo conto della scadenza del supporto per i vecchi rami, attualmente qualsiasi gateway Tor attuale supporta la terza versione del protocollo, che viene offerta per impostazione predefinita quando si creano nuovi servizi Onion.

Il 15 settembre 2020 Tor inizierà ad avvisare operatori e clienti della deprecazione della seconda versione del protocollo. Il 15 luglio 2021, il supporto per la seconda versione del protocollo verrà rimosso dal codice base e il 15 ottobre 2021 verrà rilasciata una nuova versione stabile di Tor senza supporto per il vecchio protocollo. Pertanto, i proprietari dei vecchi servizi Onion hanno 16 mesi per passare a una nuova versione del protocollo, che richiede la generazione di un nuovo indirizzo di 56 caratteri per il servizio.

Fonte: opennet.ru

Aggiungi un commento