opravné vydania súpravy nástrojov Tor (0.3.5.11, 0.4.2.8, 0.4.3.6 a 4.4.2-alpha), ktoré sa používajú na organizáciu prevádzky anonymnej siete Tor. Odstránené v nových verziách (CVE-2020-15572), spôsobené prístupom k pamäti mimo hraníc pridelenej vyrovnávacej pamäte. Zraniteľnosť umožňuje vzdialenému útočníkovi spôsobiť zlyhanie procesu tor. Problém sa objavuje iba pri vytváraní pomocou knižnice NSS (štandardne je Tor vytvorený s OpenSSL a používanie NSS vyžaduje zadanie príznaku „-enable-nss“).
ďalej plánuje ukončiť podporu pre druhú verziu protokolu onion services (predtým nazývané skryté služby). Pred rokom a pol, vo verzii 0.3.2.9, mali používatelia tretia verzia protokolu pre cibuľové služby, vyznačujúca sa prechodom na 56-znakové adresy, spoľahlivejšou ochranou proti úniku dát cez adresárové servery, rozšíriteľnou modulárnou štruktúrou a použitím algoritmov SHA3, ed25519 a curve25519 namiesto SHA1, DH a RSA-1024.
Druhá verzia protokolu bola vyvinutá asi pred 15 rokmi a vzhľadom na použitie zastaraných algoritmov ju nemožno v moderných podmienkach považovať za bezpečnú. Berúc do úvahy vypršanie podpory pre staré pobočky, v súčasnosti každá súčasná brána Tor podporuje tretiu verziu protokolu, ktorá sa štandardne ponúka pri vytváraní nových cibuľových služieb.
Dňa 15. septembra 2020 Tor začne upozorňovať operátorov a klientov na ukončenie podpory druhej verzie protokolu. 15. júla 2021 bude z kódovej základne odstránená podpora pre druhú verziu protokolu a 15. októbra 2021 bude vydané nové stabilné vydanie Tor bez podpory starého protokolu. Majitelia starých cibuľových služieb tak majú 16 mesiacov na prechod na novú verziu protokolu, čo si vyžaduje vygenerovanie novej 56-znakovej adresy pre službu.
Zdroj: opennet.ru