介紹了用於組織 Tor 匿名網路操作的 Tor 工具包的修正版本(0.3.5.14、0.4.4.8、0.4.5.7)。新版本消除了兩個可用於對 Tor 網路節點進行 DoS 攻擊的漏洞:
- CVE-2021-28089 - 攻擊者可以透過在處理某些類型的資料時產生大量 CPU 負載,從而導致任何 Tor 節點和用戶端拒絕服務。這個漏洞對於中繼和目錄權限伺服器最為危險,它們是網路的連接點,負責驗證並向使用者傳輸處理流量的網關清單。目錄伺服器最容易受到攻擊,因為它們允許任何人上傳資料。可以透過下載目錄快取來組織針對中繼和客戶端的攻擊。
- CVE-2021-28090 - 攻擊者可以透過傳輸專門設計的分離簽章來導致目錄伺服器崩潰,該簽章用於傳達有關網路共識狀態的訊息。
來源: opennet.ru