Опубликован
корректирующий выпуск инструментария Tor
0.4.7.8, используемого для организации работы
анонимной сети Tor. В новой версии устранена
уязвимость
(CVE-2022-33903),
которую можно использовать для удалённого инициирования отказа в
обслуживании. Также не исключается потенциальное влияние проблемы на
обеспечение анонимности.
Детали не
раскрываются
до обновления пакетов в основных дистрибутивах,
упомянуто
только то, что удалённый атакующий может вилять на прогнозирование
пропускной способности в реализации протокола управления перегрузкой
(RTT Congestion Control), что может приводить к снижению
производительности клиентов, onion-сервисов и промежуточных узлов.В
анонсе нового выпуска упомянут старый
CVE-2021-38385,
связанный с исправленной в прошлых ветках проблемой, которая приводит к
завершению процесса из-за срабатывания assert-проверки в случае
расхождения проверки цифровых подписей по отдельности и в пакетном
режиме.
>>> Подробности