Обновление Tor 0.3.5.11, 0.4.2.8 и 0.4.3.6 с устранением DoS-уязвимости
10 июля 2020 года
Представлены корректирующие выпуски инструментария Tor (0.3.5.11, 0.4.2.8, 0.4.3.6 и 4.4.2-alpha), используемого для организации работы анонимной сети Tor. В новых версиях устранена уязвимость (CVE-2020-15572), вызванная обращением к области памяти вне границ выделенного буфера. Уязвимость позволяет удалённому атакующему инициировать крах процесса tor. Проблема проявляется только при сборке с библиотекой NSS (по умолчанию Tor собирается с OpenSSL, а использовние NSS требует указания флага "--enable-nss").
Дополнительно представлен план прекращения поддержки второй версии протокола onion-сервисов (ранее именовались скрытыми сервисами). Полтора года назад в выпуске 0.3.2.9 пользователям была предложена третья версия протокола для onion-сервисов, примечательная переходом на 56-символьные адреса, более надёжной защитой от утечек данных через серверы директорий, расширяемой модульной структурой и использованием алгоритмов SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024.
Вторая версия протокола была разработана около 15 лет назад и из-за применения устаревших алгоритмов в современных условиях не может считаться безопасной. С учётом истечения времени поддержки старых веток в настоящее время любой актуальных шлюз Tor поддерживает третью версию протокола, которая предлагается по умолчанию при создании новых onion-сервисов.
15 сентября 2020 года tor начнёт выводить предупреждение операторам и клиентам об устаревании второй версии протокола. 15 июля 2021 года поддержка второй версии протокола будет удалена из кодовой базы, а 15 октября 2021 года выйдет новый стабильный выпуск Tor без поддержки второй версии протокола. Таким образом у владельцев старых onion-сервисов в распоряжении имеется 16 месяцев на переход на новую версию протокола, который требует генерации для сервиса нового 56-символьного адреса.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
