коригувальні випуски інструментарію Tor (0.3.5.11, 0.4.2.8, 0.4.3.6 та 4.4.2-alpha), що використовується для організації роботи анонімної мережі Tor. У нових версіях усунуто (CVE-2020-15572), викликана зверненням до області пам'яті поза межами виділеного буфера. Вразливість дозволяє дистанційному атакуючому ініціювати крах процесу tor. Проблема проявляється тільки при збиранні з бібліотекою NSS (за замовчуванням Tor збирається з OpenSSL, а використання NSS вимагає вказівки прапора “enable-nss”).
Додатково план припинення підтримки другої версії протоколу onion-сервісів (раніше іменувалися прихованими сервісами). Півтора роки тому у випуску 0.3.2.9 користувачам була третя версія протоколу для onion-сервісів, примітна переходом на 56-символьні адреси, більш надійним захистом від витоків даних через сервери директорій, модульною структурою, що розширюється, і використанням алгоритмів SHA3, ed25519 і curve25519 замість SHA1, DH і RSA-1024.
Друга версія протоколу була розроблена близько 15 років тому і через застосування застарілих алгоритмів у сучасних умовах не може вважатися безпечною. З урахуванням часу підтримки старих гілок в даний час будь-який актуальний шлюз Tor підтримує третю версію протоколу, яка пропонується за умовчанням при створенні нових onion-сервісів.
15 вересня 2020 Tor почне виводити попередження операторам і клієнтам про старіння другої версії протоколу. 15 липня 2021 підтримка другої версії протоколу буде видалена з кодової бази, а 15 жовтня 2021 вийде новий стабільний випуск Tor без підтримки старого протоколу. Таким чином, у власників старих onion-сервісів є 16 місяців на перехід на нову версію протоколу, який вимагає генерації для сервісу нової 56-символьної адреси.
Джерело: opennet.ru