lëshimet korrigjuese të paketës së veglave Tor (0.3.5.11, 0.4.2.8, 0.4.3.6 dhe 4.4.2-alfa), të përdorura për të organizuar funksionimin e rrjetit anonim Tor. Eliminohet në versionet e reja (CVE-2020-15572), i shkaktuar nga qasja në kujtesë jashtë kufijve të tamponit të caktuar. Dobësia lejon një sulmues në distancë të shkaktojë rrëzimin e procesit tor. Problemi shfaqet vetëm kur ndërtohet me bibliotekën NSS (si parazgjedhje, Tor është ndërtuar me OpenSSL dhe përdorimi i NSS kërkon specifikimin e flamurit "-enable-nss").
Përveç kësaj planifikoni të ndërprisni mbështetjen për versionin e dytë të protokollit të shërbimeve të qepës (që më parë quheshin shërbime të fshehura). Një vit e gjysmë më parë, në lëshimin 0.3.2.9, përdoruesit kishin versioni i tretë i protokollit për shërbimet e qepës, i dukshëm për kalimin në adresa me 56 karaktere, mbrojtje më të besueshme kundër rrjedhjeve të të dhënave përmes serverëve të drejtorive, një strukturë modulare e zgjeruar dhe përdorimin e algoritmeve SHA3, ed25519 dhe curve25519 në vend të SHA1, DH dhe RSA-1024.
Versioni i dytë i protokollit u zhvillua rreth 15 vjet më parë dhe, për shkak të përdorimit të algoritmeve të vjetëruara, nuk mund të konsiderohet i sigurt në kushtet moderne. Duke marrë parasysh skadimin e mbështetjes për degët e vjetra, aktualisht çdo portë aktuale Tor mbështet versionin e tretë të protokollit, i cili ofrohet si parazgjedhje kur krijoni shërbime të reja onion.
Më 15 shtator 2020, Tor do të fillojë të paralajmërojë operatorët dhe klientët për zhvlerësimin e versionit të dytë të protokollit. Më 15 korrik 2021, mbështetja për versionin e dytë të protokollit do të hiqet nga baza e kodit dhe më 15 tetor 2021, një version i ri i qëndrueshëm i Tor do të lëshohet pa mbështetje për protokollin e vjetër. Kështu, pronarët e shërbimeve të vjetra të qepëve kanë 16 muaj kohë për të kaluar në një version të ri të protokollit, i cili kërkon gjenerimin e një adrese të re me 56 karaktere për shërbimin.
Burimi: opennet.ru