Korrigerande utgåvor av Tor-verktygslådan (0.3.5.14, 0.4.4.8, 0.4.5.7), som används för att organisera driften av det anonyma Tor-nätverket, presenteras. De nya versionerna eliminerar två sårbarheter som kan användas för att utföra DoS-attacker på Tor-nätverksnoder:
- CVE-2021-28089 - en angripare kan orsaka överbelastning av alla Tor-noder och klienter genom att skapa en stor CPU-belastning som uppstår vid bearbetning av vissa typer av data. Sårbarheten är farligast för reläer och Directory Authority-servrar, som är anslutningspunkter till nätverket och ansvarar för autentisering och överföring till användaren av en lista över gateways som bearbetar trafik. Katalogservrar är lättast att attackera eftersom de tillåter vem som helst att ladda upp data. En attack mot reläer och klienter kan organiseras genom att ladda ner katalogcachen.
- CVE-2021-28090 - en angripare kan få en katalogserver att krascha genom att sända en specialdesignad fristående signatur, som används för att förmedla information om tillståndet för konsensus i nätverket.
Källa: opennet.ru