განაახლეთ Tor 0.3.5.10, 0.4.1.9 და 0.4.2.7 DoS დაუცველობის აღმოფხვრით

წარმოადგინა Tor-ის ინსტრუმენტთა ნაკრების მაკორექტირებელი გამოშვებები (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), რომელიც გამოიყენება Tor-ის ანონიმური ქსელის მუშაობის ორგანიზებისთვის. ახალი ვერსიები ასწორებს ორ დაუცველობას:

• CVE-2020-10592 - შეიძლება გამოყენებულ იქნას ნებისმიერი თავდამსხმელის მიერ რელეებზე სერვისზე უარის თქმის დასაწყებად. შეტევა ასევე შეიძლება განხორციელდეს Tor დირექტორია სერვერების მიერ კლიენტებზე და ფარულ სერვისებზე თავდასხმისთვის. თავდამსხმელს შეუძლია შექმნას პირობები, რამაც გამოიწვია პროცესორის გადაჭარბებული დატვირთვა, რაც არღვევს ნორმალურ მუშაობას რამდენიმე წამით ან წუთის განმავლობაში (შეტევის განმეორებით, DoS შეიძლება გაგრძელდეს დიდი ხნის განმავლობაში). პრობლემა ჩნდება 0.2.1.5-ალფა გამოშვების შემდეგ.
• CVE-2020-10593 — დისტანციურად ინიცირებული მეხსიერების გაჟონვა, რომელიც ხდება მაშინ, როდესაც მიკროსქემის შიგთავსი ორმაგად შეესაბამება იმავე ჯაჭვს.

ასევე შეიძლება აღინიშნოს, რომ ქ Tor ბრაუზერი 9.0.6 დანამატში დაუცველობა გამოუსწორებელი რჩება NoScript, რომელიც საშუალებას გაძლევთ გაუშვათ JavaScript კოდი უსაფრთხო დაცვის რეჟიმში. მათთვის, ვისთვისაც JavaScript-ის შესრულების აკრძალვა მნიშვნელოვანია, რეკომენდირებულია დროებით გამორთოთ JavaScript-ის გამოყენება ბრაუზერში about:config-ში javascript.enabled პარამეტრის შეცვლით about:config.

ისინი ცდილობდნენ დეფექტის აღმოფხვრას NoScript 11.0.17, მაგრამ როგორც გაირკვა, შემოთავაზებული შესწორება პრობლემას სრულად არ წყვეტს. ვიმსჯელებთ შემდეგ გამოშვებულ გამოშვებაში ცვლილებებით NoScript 11.0.18, პრობლემა ასევე არ არის მოგვარებული. Tor ბრაუზერი მოიცავს ავტომატურ NoScript განახლებებს, ასე რომ, როგორც კი შესწორება იქნება ხელმისაწვდომი, ის ავტომატურად მიწოდებული იქნება.

წყარო: opennet.ru