Tor анонимді желісінің жұмысын ұйымдастыру үшін пайдаланылатын Tor құралдар жинағының (0.3.5.11, 0.4.2.8, 0.4.3.6 және 4.4.2-альфа) түзету шығарылымдары. Жаңа нұсқаларда жойылды (CVE-2020-15572), бөлінген буфердің шегінен тыс жадқа қатынасу нәтижесінде туындаған. Осалдық қашықтағы шабуылдаушыға tor процесінің бұзылуына мүмкіндік береді. Мәселе тек NSS кітапханасымен құрастыру кезінде пайда болады (әдепкі бойынша, Tor OpenSSL көмегімен жасалған және NSS пайдалану «-enable-nss» жалауын көрсетуді талап етеді).
қосымша пияз қызметтері хаттамасының екінші нұсқасын (бұрын жасырын қызметтер деп атаған) қолдауды тоқтатуды жоспарлап отыр. Бір жарым жыл бұрын 0.3.2.9 шығарылымында пайдаланушылар болды пияз қызметтеріне арналған хаттаманың үшінші нұсқасы, 56 таңбалы мекенжайларға көшуімен, каталог серверлері арқылы деректердің ағып кетуінен сенімдірек қорғаумен, кеңейтілген модульдік құрылыммен және SHA3, DH және орнына SHA25519, ed25519 және curve1 алгоритмдерін пайдаланумен ерекшеленеді. RSA-1024.
Хаттаманың екінші нұсқасы шамамен 15 жыл бұрын әзірленді және ескірген алгоритмдерді қолдануға байланысты қазіргі заманғы жағдайларда қауіпсіз деп санауға болмайды. Ескі филиалдарды қолдау мерзімінің аяқталуын ескере отырып, қазіргі уақытта кез келген ағымдағы Tor шлюзі жаңа пияз қызметтерін жасау кезінде әдепкі бойынша ұсынылатын хаттаманың үшінші нұсқасын қолдайды.
15 жылдың 2020 қыркүйегінде Tor операторлар мен клиенттерге хаттаманың екінші нұсқасының ескіруі туралы ескертуді бастайды. 15 жылдың 2021 шілдесінде хаттаманың екінші нұсқасына қолдау код базасынан жойылады, ал 15 жылдың 2021 қазанында ескі протоколды қолдаусыз Tor жаңа тұрақты шығарылымы шығарылады. Осылайша, ескі пияз қызметтерінің иелері хаттаманың жаңа нұсқасына ауысу үшін 16 ай уақыт алады, бұл қызмет үшін 56 таңбадан тұратын жаңа мекенжайды генерациялауды талап етеді.
Ақпарат көзі: opennet.ru