Tor 工具包的修正版本(0.3.5.11、0.4.2.8、0.4.3.6 和 4.4.2-alpha),用於組織 Tor 匿名網路的運作。 新版本已取消 (CVE-2020-15572),由於存取已分配緩衝區邊界之外的記憶體而導致。 該漏洞允許遠端攻擊者導致 Tor 進程崩潰。 該問題僅在使用 NSS 庫建置時出現(預設情況下,Tor 是使用 OpenSSL 建置的,並且使用 NSS 需要指定“-enable-nss”標誌)。
另外 計劃停止對第二版洋蔥服務協議(以前稱為隱藏服務)的支援。 一年半前,在 0.3.2.9 版本中,用戶已經 洋蔥服務協議的第三個版本,值得注意的是過渡到 56 個字元的位址、透過目錄伺服器更可靠地防止資料外洩、可擴展的模組化結構以及使用 SHA3、ed25519 和 curve25519 演算法代替 SHA1、DH 和RSA-1024。
該協議的第二個版本是大約 15 年前開發的,由於使用了過時的演算法,在現代條件下不能被認為是安全的。 考慮到對舊分支的支援即將到期,目前任何當前的 Tor 網關都支援該協議的第三個版本,這是在創建新洋蔥服務時預設提供的。
15 年 2020 月 15 日,Tor 將開始警告營運商和客戶有關協議第二版的棄用。 2021 年 15 月 2021 日,將從程式碼庫中刪除對該協議第二版的支持,並於 16 年 56 月 XNUMX 日發布新的 Tor 穩定版本,而不支持舊協議。 因此,舊洋蔥服務的所有者有 XNUMX 個月的時間切換到新版本的協議,這需要為服務產生新的 XNUMX 個字元的位址。
來源: opennet.ru