Tor rīkkopas koriģējošie izlaidumi (0.3.5.11, 0.4.2.8, 0.4.3.6 un 4.4.2-alpha), ko izmanto, lai organizētu Tor anonīmā tīkla darbību. Likvidēts jaunajās versijās (CVE-2020-15572), ko izraisa piekļuve atmiņai ārpus piešķirtā bufera robežām. Ievainojamība ļauj attālam uzbrucējam izraisīt tor procesa avāriju. Problēma parādās tikai veidojot, izmantojot NSS bibliotēku (pēc noklusējuma Tor ir veidots, izmantojot OpenSSL, un, lai izmantotu NSS, ir jānorāda karodziņš “-enable-nss”).
papildus plāno pārtraukt sīpola pakalpojumu protokola otrās versijas (iepriekš sauktas par slēptajiem pakalpojumiem) atbalstu. Pirms pusotra gada izlaidumā 0.3.2.9 lietotājiem bija trešā protokola versija sīpolu pakalpojumiem, kas ievērojama ar pāreju uz 56 rakstzīmju adresēm, uzticamāku aizsardzību pret datu noplūdēm caur direktoriju serveriem, paplašināmu modulāru struktūru un SHA3, ed25519 un curve25519 algoritmu izmantošanu SHA1, DH un RSA-1024.
Protokola otrā versija tika izstrādāta pirms aptuveni 15 gadiem, un novecojušu algoritmu izmantošanas dēļ to nevar uzskatīt par drošu mūsdienu apstākļos. Ņemot vērā veco filiāļu atbalsta termiņa beigšanos, šobrīd jebkura pašreizējā Tor vārteja atbalsta trešo protokola versiju, kas tiek piedāvāta pēc noklusējuma, veidojot jaunus sīpolu pakalpojumus.
15. gada 2020. septembrī Tor sāks brīdināt operatorus un klientus par protokola otrās versijas novecošanos. 15. gada 2021. jūlijā no kodu bāzes tiks noņemts atbalsts otrajai protokola versijai, un 15. gada 2021. oktobrī tiks izlaists jauns stabils Tor laidiens bez vecā protokola atbalsta. Tādējādi veco sīpolu pakalpojumu īpašniekiem ir 16 mēneši, lai pārietu uz jaunu protokola versiju, kas prasa pakalpojumam ģenerēt jaunu 56 rakstzīmju adresi.
Avots: opennet.ru