DoS 취약점을 제거하여 Tor 0.3.5.10, 0.4.1.9 및 0.4.2.7 업데이트

대표 익명의 Tor 네트워크 작업을 구성하는 데 사용되는 Tor 툴킷(0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha)의 수정 릴리스입니다. 새 버전에서는 두 가지 취약점이 수정되었습니다.

• CVE-2020-10592 - 공격자가 릴레이에 대한 서비스 거부를 시작하는 데 사용될 수 있습니다. 이 공격은 Tor 디렉터리 서버에서 수행되어 클라이언트와 숨겨진 서비스를 공격할 수도 있습니다. 공격자는 CPU에 너무 많은 부하를 주는 조건을 만들어 몇 초 또는 몇 분 동안 정상 작동을 방해할 수 있습니다. (공격을 반복하면 DoS가 오랫동안 연장될 수 있습니다.) 이 문제는 릴리스 0.2.1.5-alpha부터 나타납니다.
• CVE-2020-10593 — 동일한 체인에 대해 회로 패딩이 이중 일치할 때 발생하는 원격으로 시작된 메모리 누수입니다.

또한 토르 브라우저 9.0.6 추가 기능의 취약점은 수정되지 않은 상태로 남아 있습니다. NoScript, 가장 안전한 보호 모드에서 JavaScript 코드를 실행할 수 있습니다. JavaScript 실행을 금지하는 것이 중요한 경우 about:config의 javascript.enabled 매개변수를 변경하여 about:config의 브라우저에서 JavaScript 사용을 일시적으로 비활성화하는 것이 좋습니다.

그들은 결함을 제거하려고 노력했습니다. 노스크립트 11.0.17, 그러나 결과적으로 제안된 수정 사항은 문제를 완전히 해결하지 못했습니다. 다음 릴리스의 변경 사항으로 판단 노스크립트 11.0.18, 문제도 해결되지 않았습니다. Tor 브라우저에는 자동 NoScript 업데이트가 포함되어 있으므로 수정 사항이 제공되면 자동으로 제공됩니다.

출처 : opennet.ru