versões corretivas do kit de ferramentas Tor (0.3.5.11, 0.4.2.8, 0.4.3.6 e 4.4.2-alpha), usadas para organizar a operação da rede anônima Tor. Eliminado em novas versões (CVE-2020-15572), causado pelo acesso à memória fora dos limites do buffer alocado. A vulnerabilidade permite que um invasor remoto faça com que o processo tor trave. O problema só aparece ao construir com a biblioteca NSS (por padrão, o Tor é construído com OpenSSL, e usar NSS requer a especificação do sinalizador “-enable-nss”).
adicionalmente planeja descontinuar o suporte para a segunda versão do protocolo de serviços cebola (anteriormente chamado de serviços ocultos). Há um ano e meio, na versão 0.3.2.9, os usuários tinham a terceira versão do protocolo para serviços cebola, destacando-se pela transição para endereços de 56 caracteres, proteção mais confiável contra vazamentos de dados através de servidores de diretório, estrutura modular extensível e uso dos algoritmos SHA3, ed25519 e curve25519 em vez de SHA1, DH e RSA-1024.
A segunda versão do protocolo foi desenvolvida há cerca de 15 anos e, devido ao uso de algoritmos desatualizados, não pode ser considerada segura nas condições modernas. Levando em consideração a expiração do suporte para filiais antigas, atualmente qualquer gateway Tor atual suporta a terceira versão do protocolo, que é oferecida por padrão na criação de novos serviços cebola.
Em 15 de setembro de 2020, o Tor começará a alertar operadores e clientes sobre a descontinuação da segunda versão do protocolo. Em 15 de julho de 2021, o suporte para a segunda versão do protocolo será removido da base de código e, em 15 de outubro de 2021, uma nova versão estável do Tor será lançada sem suporte para o protocolo antigo. Assim, os proprietários de serviços cebola antigos têm 16 meses para mudar para uma nova versão do protocolo, o que exige a geração de um novo endereço de 56 caracteres para o serviço.
Fonte: opennet.ru