介绍了用于组织 Tor 匿名网络操作的 Tor 工具包的修正版本(0.3.5.14、0.4.4.8、0.4.5.7)。 新版本消除了两个可用于对 Tor 网络节点进行 DoS 攻击的漏洞:
- CVE-2021-28089 - 攻击者可以通过在处理某些类型的数据时产生大量 CPU 负载,从而导致任何 Tor 节点和客户端拒绝服务。 该漏洞对于中继和目录权限服务器最为危险,它们是网络的连接点,负责验证并向用户传输处理流量的网关列表。 目录服务器最容易受到攻击,因为它们允许任何人上传数据。 可以通过下载目录缓存来组织针对中继和客户端的攻击。
- CVE-2021-28090 - 攻击者可以通过传输专门设计的分离签名来导致目录服务器崩溃,该签名用于传达有关网络共识状态的信息。
来源: opennet.ru