Išleistos taisomosios „Tor 0.4.8.25“ ir „0.4.9.8“ versijų, įrankių, naudojamų „Tor“ anonimiškumo tinklui valdyti, versijos. „Tor 0.4.9.8“ ištaiso šešis pažeidžiamumus:
- TROVE-2026-011 – Apdorojant specialiai sukurtus END, TRUNCATE ir TRUNCATED pranešimus (langelius), įvyko klaida, dėl kurios duomenys buvo nuskaitomi iš srities, esančios už buferio ribų;
- TROVE-2026-008 – Neteisingas BEGIN_DIR pranešimų apdorojimas naudojant „conflux“ mechanizmą.
- TROVE-2026-010 – „Conflux“ mechanizme skaitikliai ir būsenos kintamieji buvo neteisingai perskaičiuoti valant ne eilės tvarkos pranešimų eilę.
- TROVE-2026-009 – Kliento programos gedimas dėl dvigubo grandinės uždarymo, kai nebuvo pakankamai laisvos atminties grandinės eilėms apdoroti.
- TROVE-2026-006 – Apdorojant specialiai sukurtą CERT pranešimą, gali įvykti NULL rodyklės nuorodos praradimas.
- TROVE-2026-007 – Apdorojant specialiai sukurtą BEGIN pranešimą, įvyko nuskaitymas už ribų.
Debian „Tor“ jau išleido „tor“ paketo atnaujinimą 0.4.9.8-0+deb13u1 stabiliai versijai ir 0.4.9.8-1 nestabiliai versijai. Pažeidžiamumų pataisymai įtraukti į „Tor Browser 15.0.13“ ir „Tails 7.7.3“ versijas.
Prieš kelias dienas taip pat buvo išleista „Arti 2.3.0“ – „Tor“ įrankių rinkinio „Rust“ implementacija. Kai „Arti“ kodo bazė pasieks lygį, leidžiantį visiškai pakeisti C implementaciją, „Tor“ kūrėjai ketina „Arti“ paversti pagrindine „Tor“ implementacija ir palaipsniui atsisakyti C implementacijos priežiūros. Naujoje versijoje yra funkcijų kūrimas relių ir serveriai katalogai (katalogo tarnyba), pridėta nauja RPC API tunelių patikrai, suteikta palaikymas žurnalų išsaugojimui naudojant syslog ir pridėtas nustatymas logging.protocol_warnings, kad žurnale būtų rodomi įspėjimai apie neteisingą protokolo naudojimą.
Šaltinis: opennet.ru
