Подано коригувальні випуски інструментарію Tor (0.3.5.14, 0.4.4.8, 0.4.5.7), що використовується для організації роботи анонімної мережі Tor. У нових версіях усунуто дві вразливості, які можуть використовуватися для здійснення DoS-атак на вузли мережі Tor:
- CVE-2021-28089 - атакуючий може викликати відмову обслуговування будь-яких вузлів та клієнтів Tor через створення великого навантаження на CPU, що виникає при обробці певних типів даних. Найбільшу небезпеку вразливість становить для релеїв та серверів директорій (Directory Authority), які є точками підключення до мережі, відповідають за автентифікацію та передачу користувачеві списку шлюзів, які обробляють трафік. Найпростіше атакувати сервери директорій, оскільки вони дозволяють завантажувати дані будь-якому учаснику. Проти релеїв та клієнтів атаку можна організувати через завантаження кешу директорій.
- CVE-2021-28090 — атакуючий може викликати крах сервера директорій через передачу певним чином оформлених відкріплених підписів (detached signature), що використовуються передачі інформації про стан консенсусу в мережі.
Джерело: opennet.ru