release corrective tina toolkit Tor (0.3.5.11, 0.4.2.8, 0.4.3.6 jeung 4.4.2-alpha), dipaké pikeun ngatur operasi jaringan anonim Tor. Dileungitkeun dina versi anyar (CVE-2020-15572), disababkeun ku aksés memori luar wates panyangga disadiakeun. Kerentanan ngamungkinkeun panyerang jauh nyababkeun prosés tor ngadat. Masalahna ngan ukur muncul nalika ngawangun sareng perpustakaan NSS (sacara standar, Tor diwangun ku OpenSSL, sareng nganggo NSS peryogi nangtukeun bendera "-enable-nss").
Sajaba ngarencanakeun pikeun ngeureunkeun dukungan pikeun versi kadua protokol jasa bawang (saméméhna disebut jasa disumputkeun). Sataun satengah ka tukang, dina release 0.3.2.9, pamaké kungsi versi katilu tina protokol pikeun layanan bawang, kasohor pikeun transisi ka alamat 56-karakter, panyalindungan leuwih dipercaya ngalawan bocor data ngaliwatan server diréktori, struktur modular extensible sarta pamakéan SHA3, ed25519 na algoritma curve25519 tinimbang SHA1, DH jeung RSA-1024.
Versi kadua protokol dikembangkeun sakitar 15 taun ka pengker sareng, kusabab ngagunakeun algoritma anu luntur, henteu tiasa dianggap aman dina kaayaan modéren. Nganggap kadaluwarsa pangrojong pikeun cabang anu lami, ayeuna sagala gerbang Tor ayeuna ngadukung versi katilu protokol, anu ditawarkeun sacara standar nalika nyiptakeun jasa bawang anyar.
Dina 15 Séptémber 2020, Tor bakal ngamimitian ngingetkeun operator sareng klien ngeunaan panyabutan versi kadua protokol. Dina 15 Juli 2021, dukungan pikeun versi kadua protokol bakal dipiceun tina basis kode, sareng dina 15 Oktober 2021, sékrési stabil anyar Tor bakal dileupaskeun tanpa dukungan pikeun protokol anu lami. Ku kituna, nu boga jasa bawang heubeul boga 16 bulan pikeun pindah ka versi anyar tina protokol, nu merlukeun generating alamat 56-karakter anyar pikeun layanan nu.
sumber: opennet.ru