The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS-уязвимости

18.03.2020 22:19

Представлены корректирующие выпуски инструментария Tor ( 0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), используемого для организации работы анонимной сети Tor. В новых версиях устранены две уязвимости:

  • CVE-2020-10592 - может использоваться любым злоумышленником для инициирования отказа в обслуживании релеев. Атака также может быть проведена со стороны серверов каталогов Tor для атаки на клиентов и скрытых сервисов. Атакующий может создать условия, приводящие к слишком большой нагрузке на CPU, нарушающей нормальною работу на несколько секунд или минут (повторяя атаку можно растянуть DoS на длительное время). Проблема проявляется начиная с выпуска 0.2.1.5-alpha.
  • CVE-2020-10593 - удалённо инициируемая утечка памяти, возникающая при двойном согласовании добавочных ячеек (circuit padding) для одной и той же цепочки.

Также можно отметить, что в Tor Browser 9.0.6 остаётся неисправленной уязвимость в дополнении NoScript, позволяющая организовать запуск кода JavaScript в режиме защиты "Safest". Для тех, кому запрет на выполнение JavaScript важен, рекомендуется на время в about:config полностью запретить использованием в браузере JavaScript через изменение параметра javascript.enabled в about:config.

Недоработку попытались устранить в NoScript 11.0.17, но как оказалось, предложенное исправление полностью не решает проблему. Судя по изменениям в следом выпущенном релизе NoScript 11.0.18, проблема также не решена. В Tor Browser включено автоматическое обновление NoScript, поэтому после появления исправления, оно будет доставлено автоматически.

  1. Главная ссылка к новости (https://blog.torproject.org/no...)
  2. OpenNews: Релиз дистрибутива Tails 4.4 и Tor Browser 9.0.6
  3. OpenNews: Выпуск новой стабильной ветки Tor 0.4.2
  4. OpenNews: Доступен Tor Browser 9.0
  5. OpenNews: Проект Tor опубликовал OnionShare 2.2
  6. OpenNews: В Tor отключены 800 из 6000 узлов из-за применения устаревшего ПО
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/52568-tor
Ключевые слова: tor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (3), 00:40, 19/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Режимы Safe и Safest должны быть реализованы в Tor Browser нативно, а не в виде стороннего дополнения.
     
     
  • 2.9, Аноним (9), 08:47, 19/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Значительная доля вины тут лежит на разрабах Firefox и TorBrowser Разрабы файрф... большой текст свёрнут, показать
     
     
  • 3.11, Аноним (11), 10:03, 19/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > положились на NoScript

    Который уже отваливался, когда сертификат Мозиллы протух.
    А еще торовцы стали палить систему в JS (User Agent): Win, Lin и Mac.

     

  • 1.4, Аноним (4), 04:32, 19/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >автоматическое обновление NoScript

    Что это за шерето? Достаточно добавить "нужное" исправление в noscript (автор которого уже замечен за созданием и рекламой спайвари) и мамкины анонимы дружно лососнут. Никогда не понимал, зачем они какую-то левую дрянь пихают. Учитывая, сколько уязвимостей находят как раз в этом "левом" компоненте, это видимо ответ.

     
     
  • 2.5, КО (?), 06:19, 19/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Там списки настраиваются и их наверняка проверяют
     
     
  • 3.19, Lex (??), 21:17, 19/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да тут в целом ситуация, достойная выступлений лучших юмористов.

    Ну сколько лет уже существует и этот тор и браузер. Сколько раз рассказывали, как оно всё Э-элементарно работает, как это всё просто и невероятно безопасно.. годы идут, а цирк с клоунами и совершенно нелепыми багами/уязвимости так никуда и не девается.

     
  • 2.10, Аноним (9), 09:13, 19/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что такое шерето? Рeшeтo что-ли?
     
     
  • 3.13, Аноним (13), 11:05, 19/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это чтобы опеннетовский фильтр не чудил. Он ещё бывает на слово "космонавт" реагирует.
     
     
  • 4.16, Аноним (16), 11:38, 19/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Он даже некоторые фамилии считает матом.
     
  • 4.21, Аноним (9), 08:50, 20/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это понятно. Непонятно, зачем слова коверкать, вместо того, чтобы нормально написать омоглифами.
     

  • 1.8, псевдонимус (?), 07:22, 19/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пример качественного проекта с нормально поддерживаемыми ветками.
     
  • 1.12, Аноним (11), 10:05, 19/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    DoS уязвимость еще в прошлом году же устранялась.
     
     
  • 2.17, Аноним (17), 11:39, 19/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они новую добавили
     

  • 1.14, Аноним (-), 11:11, 19/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >рекомендуется на время в about:config полностью запретить использованием в браузере JavaScript через изменение параметра javascript.enabled в about:config.

    Года два назад здесь предлагал это делать, так местные "умники" меня заминусовали.

     
  • 1.15, Аноним (16), 11:34, 19/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Цензура - это фашизм.
     
     
  • 2.18, Lex (??), 21:10, 19/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Цензура - это цензура, фашизм - это фашизм. Ваш кэп.
     
  • 2.20, Аноним (20), 05:02, 20/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В этот раз неудачно.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру