Обновление Tor 0.3.5.11, 0.4.2.8 и 0.4.3.6 с устранением DoS-уязвимости

10 июля 2020 года

Wikinews-logo-ru.svg

Представлены корректирующие выпуски инструментария Tor (0.3.5.11, 0.4.2.8, 0.4.3.6 и 4.4.2-alpha), используемого для организации работы анонимной сети Tor. В новых версиях устранена уязвимость (CVE-2020-15572), вызванная обращением к области памяти вне границ выделенного буфера. Уязвимость позволяет удалённому атакующему инициировать крах процесса tor. Проблема проявляется только при сборке с библиотекой NSS (по умолчанию Tor собирается с OpenSSL, а использовние NSS требует указания флага "--enable-nss").

Дополнительно представлен план прекращения поддержки второй версии протокола onion-сервисов (ранее именовались скрытыми сервисами). Полтора года назад в выпуске 0.3.2.9 пользователям была предложена третья версия протокола для onion-сервисов, примечательная переходом на 56-символьные адреса, более надёжной защитой от утечек данных через серверы директорий, расширяемой модульной структурой и использованием алгоритмов SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024.

Вторая версия протокола была разработана около 15 лет назад и из-за применения устаревших алгоритмов в современных условиях не может считаться безопасной. С учётом истечения времени поддержки старых веток в настоящее время любой актуальных шлюз Tor поддерживает третью версию протокола, которая предлагается по умолчанию при создании новых onion-сервисов.

15 сентября 2020 года tor начнёт выводить предупреждение операторам и клиентам об устаревании второй версии протокола. 15 июля 2021 года поддержка второй версии протокола будет удалена из кодовой базы, а 15 октября 2021 года выйдет новый стабильный выпуск Tor без поддержки второй версии протокола. Таким образом у владельцев старых onion-сервисов в распоряжении имеется 16 месяцев на переход на новую версию протокола, который требует генерации для сервиса нового 56-символьного адреса.

 

ИсточникиПравить

Эта статья содержит материалы из статьи «Обновление Tor 0.3.5.11, 0.4.2.8 и 0.4.3.6 с устранением DoS-уязвимости», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Обновление Tor 0.3.5.11, 0.4.2.8 и 0.4.3.6 с устранением DoS-уязвимости