korrigerande utgåvor av Tor-verktygslådan (0.3.5.11, 0.4.2.8, 0.4.3.6 och 4.4.2-alpha), som används för att organisera driften av Tors anonyma nätverk. Elimineras i nya versioner (CVE-2020-15572), orsakad av åtkomst till minne utanför gränserna för den allokerade bufferten. Sårbarheten gör att en fjärrangripare kan få tor-processen att krascha. Problemet dyker bara upp när man bygger med NSS-biblioteket (som standard är Tor byggd med OpenSSL, och att använda NSS kräver att man specificerar "-enable-nss"-flaggan).
dessutom planerar att avbryta stödet för den andra versionen av onion services-protokollet (tidigare kallat dolda tjänster). För ett och ett halvt år sedan, i release 0.3.2.9, hade användare den tredje versionen av protokollet för löktjänster, känd för övergången till 56-teckens adresser, mer tillförlitligt skydd mot dataläckor genom katalogservrar, en utbyggbar modulär struktur och användningen av SHA3, ed25519 och curve25519 algoritmer istället för SHA1, DH och RSA-1024.
Den andra versionen av protokollet utvecklades för cirka 15 år sedan och, på grund av användningen av föråldrade algoritmer, kan den inte anses vara säker under moderna förhållanden. Med hänsyn till att stödet för gamla grenar löper ut, stöder för närvarande alla nuvarande Tor-gateways den tredje versionen av protokollet, som erbjuds som standard när man skapar nya löktjänster.
Den 15 september 2020 kommer Tor att börja varna operatörer och klienter om utfasningen av den andra versionen av protokollet. Den 15 juli 2021 kommer stödet för den andra versionen av protokollet att tas bort från kodbasen och den 15 oktober 2021 kommer en ny stabil version av Tor att släppas utan stöd för det gamla protokollet. Ägare av gamla löktjänster har alltså 16 månader på sig att byta till en ny version av protokollet, vilket kräver generering av en ny 56-teckens adress för tjänsten.
Källa: opennet.ru