Tor 工具包的修正版本(0.3.5.11、0.4.2.8、0.4.3.6 和 4.4.2-alpha),用于组织 Tor 匿名网络的操作。 新版本中已取消 (CVE-2020-15572),由于访问已分配缓冲区边界之外的内存而导致。 该漏洞允许远程攻击者导致 Tor 进程崩溃。 该问题仅在使用 NSS 库构建时出现(默认情况下,Tor 是使用 OpenSSL 构建的,并且使用 NSS 需要指定“-enable-nss”标志)。
另外 计划停止对第二版洋葱服务协议(以前称为隐藏服务)的支持。 一年半前,在 0.3.2.9 版本中,用户已经 洋葱服务协议的第三版,值得注意的是过渡到 56 个字符的地址、通过目录服务器更可靠地防止数据泄露、可扩展的模块化结构以及使用 SHA3、ed25519 和 curve25519 算法代替 SHA1、DH 和RSA-1024。
该协议的第二版是大约 15 年前开发的,由于使用了过时的算法,在现代条件下不能被认为是安全的。 考虑到对旧分支的支持即将到期,目前任何当前的 Tor 网关都支持该协议的第三个版本,这是在创建新洋葱服务时默认提供的。
15 年 2020 月 15 日,Tor 将开始警告运营商和客户有关该协议第二版的弃用。 2021 年 15 月 2021 日,将从代码库中删除对该协议第二版的支持,并于 16 年 56 月 XNUMX 日发布新的 Tor 稳定版本,而不支持旧协议。 因此,旧洋葱服务的所有者有 XNUMX 个月的时间切换到新版本的协议,这需要为服务生成新的 XNUMX 个字符的地址。
来源: opennet.ru