Tor анонимдүү тармагынын ишин уюштуруу үчүн колдонулган Tor инструменттеринин (0.3.5.11, 0.4.2.8, 0.4.3.6 жана 4.4.2-альфа) түзөтүүчү релиздери. Жаңы версияларда жок кылынды (CVE-2020-15572), бөлүнгөн буфердин чегинен тышкары эстутумга кирүү менен шартталган. Алсыздык алыскы чабуулчуга тор процессинин бузулушуна жол берет. Көйгөй NSS китепканасы менен курууда гана пайда болот (демейки боюнча, Tor OpenSSL менен курулган жана NSSти колдонуу “-enable-nss” желекчесин көрсөтүүнү талап кылат).
кошумча пияз кызматтары протоколунун экинчи версиясын колдоону токтотууну пландаштырууда (мурунку жашыруун кызматтар). Бир жарым жыл мурун, 0.3.2.9 релизинде колдонуучулар болгон 56 белгиден турган даректерге өтүү, каталог серверлери аркылуу маалыматтардын агып кетүүсүнөн ишенимдүү коргоо, кеңейтилүүчү модулдук структура жана SHA3, DH жана SHA25519, ed25519 жана curve1 алгоритмдерин колдонуу менен айырмаланган пияз кызматтары үчүн протоколдун үчүнчү версиясы. RSA-1024.
Протоколдун экинчи версиясы болжол менен 15 жыл мурун иштелип чыккан жана эскирген алгоритмдерди колдонуудан улам заманбап шарттарда коопсуз деп эсептелбейт. Эски филиалдарды колдоонун мөөнөтү аяктаганын эске алуу менен, азыркы учурда ар кандай Tor шлюзи протоколдун үчүнчү версиясын колдойт, ал жаңы пияз кызматтарын түзүүдө демейки боюнча сунушталат.
15-жылдын 2020-сентябрында Tor операторлорду жана кардарларды протоколдун экинчи версиясынын эскириши жөнүндө эскерте баштайт. 15-жылдын 2021-июлунда протоколдун экинчи версиясын колдоо коддук базадан алынып салынат, ал эми 15-жылдын 2021-октябрында Torдун жаңы туруктуу релизи эски протоколду колдобостон чыгарылат. Ошентип, эски пияз кызматтарынын ээлерине протоколдун жаңы версиясына өтүү үчүн 16 ай убакыт бар, бул кызмат үчүн 56 белгиден турган жаңы даректи генерациялоону талап кылат.
Source: opennet.ru