Sú prezentované opravné vydania súpravy nástrojov Tor (0.3.5.14, 0.4.4.8, 0.4.5.7), ktoré sa používajú na organizáciu prevádzky anonymnej siete Tor. Nové verzie odstraňujú dve zraniteľnosti, ktoré možno použiť na vykonávanie DoS útokov na sieťové uzly Tor:
- CVE-2021-28089 – útočník môže spôsobiť odmietnutie služby ktorýmkoľvek uzlom Tor a klientom vytvorením veľkého zaťaženia procesora, ku ktorému dochádza pri spracovaní určitých typov údajov. Zraniteľnosť je najnebezpečnejšia pre relé a servery Directory Authority, ktoré sú bodmi pripojenia k sieti a sú zodpovedné za autentifikáciu a prenos zoznamu brán, ktoré spracúvajú prevádzku, používateľovi. Adresárové servery sú najjednoduchšie na útok, pretože umožňujú komukoľvek nahrávať údaje. Útok na relé a klientov možno zorganizovať stiahnutím vyrovnávacej pamäte adresára.
- CVE-2021-28090 – útočník môže spôsobiť zlyhanie adresárového servera prenesením špeciálne navrhnutého samostatného podpisu, ktorý sa používa na sprostredkovanie informácií o stave konsenzu v sieti.
Zdroj: opennet.ru