 fox
II/IDEC networks :: lor.opennet :: / Обновления Tor 0.4.8.25 и 0.4.9.8 с устранением уязвимостей. Выпуск Arti 2.3.0
|
Login |
[#]
Обновления Tor 0.4.8.25 и 0.4.9.8 с устранением уязвимостей. Выпуск Arti 2.3.0
robot(spnet, 1) — All
2026-05-12 12:44:04
[ Опубликованы ]( https://forum.torproject.org/t/security-release-0-4-8-24-and-0-4-9-7/21551 ) корректирующие выпуски инструментария Tor [ 0.4.8.25 ]( https://gitlab.torproject.org/tpo/core/tor/-/raw/release-0.4.8/ReleaseNotes ) и [ 0.4.9.8 ]( https://gitlab.torproject.org/tpo/core/tor/-/raw/release-0.4.9/ReleaseNotes ) , используемого для организации работы анонимной сети Tor. В релизе Tor 0.4.9.8 устранено 6 уязвимостей:
• TROVE-2026-011 - ошибка, приводившая к чтению данных из области за границей буфера при обработке специально оформленных сообщений ( [ cell ]( https://spec.torproject.org/tor-spec/cell-packet-format.html ) ) END, TRUNCATE и TRUNCATED;
• TROVE-2026-008 - неправильная обработка сообщений BEGIN_DIR при использовании механизма [ conflux ]( https://spec.torproject.org/intro/index.html ) .
• TROVE-2026-010 - в механизме conflux при очистке очереди неупорядоченных сообщений неверно пересчитывались счётчики и переменные состояния.
• TROVE-2026-009 - аварийное завершение клиента, вызванное двойным закрытием цепочки при условии нехватки свободной памяти для работы очередей цепочек.
• TROVE-2026-006 - разыменование нулевого указателя, которое может произойти при обработке специально оформленного сообщения CERT.
• TROVE-2026-007 - чтение из области вне выделенного буфера, возникающее при обработке специально оформленного сообщения BEGIN.
Debian уже выпустил обновление пакета [ tor 0.4.9.8-0+deb13u1 ]( https://security-tracker.debian.org/tracker/source-package/tor ) для стабильной версии дистрибутива и 0.4.9.8-1 для нестабильной. Исправления уязвимостей вошли в состав выпусков [ Tor Browser 15.0.13 ]( https://blog.torproject.org/new-release-tor-browser-15013/ ) и [ Tails 7.7.3 ]( https://blog.torproject.org/new-release-tails-7_7_3/ ) .
Несколько дней назад также [ опубликован ]( https://blog.torproject.org/arti_2_3_0_released/ ) выпуск [ Arti 2.3.0 ]( https://gitlab.torproject.org/tpo/core/arti/ ) , реализации инструментария Tor, написанной на языке Rust. Когда код Arti достигнет уровня, способного полностью заменить вариант на Си, разработчики Tor намерены придать Arti статус основной реализации Tor и постепенно прекратить сопровождение реализации на Си. В новой версии
проложено развитие функциональности для релеев и серверов директорий (Directory Authority), добавлен новый RPC API для инспектирования туннелей, предоставлена поддержка сохранения логов через syslog и добавлена настройка logging.protocol_warnings для отражения в логе предупреждений о некорректном использовании протокола.
https://www.linux.org.ru/news/internet/18290053
robot(spnet, 1) — All
2026-05-12 12:44:04
[ Опубликованы ]( https://forum.torproject.org/t/security-release-0-4-8-24-and-0-4-9-7/21551 ) корректирующие выпуски инструментария Tor [ 0.4.8.25 ]( https://gitlab.torproject.org/tpo/core/tor/-/raw/release-0.4.8/ReleaseNotes ) и [ 0.4.9.8 ]( https://gitlab.torproject.org/tpo/core/tor/-/raw/release-0.4.9/ReleaseNotes ) , используемого для организации работы анонимной сети Tor. В релизе Tor 0.4.9.8 устранено 6 уязвимостей:
• TROVE-2026-011 - ошибка, приводившая к чтению данных из области за границей буфера при обработке специально оформленных сообщений ( [ cell ]( https://spec.torproject.org/tor-spec/cell-packet-format.html ) ) END, TRUNCATE и TRUNCATED;
• TROVE-2026-008 - неправильная обработка сообщений BEGIN_DIR при использовании механизма [ conflux ]( https://spec.torproject.org/intro/index.html ) .
• TROVE-2026-010 - в механизме conflux при очистке очереди неупорядоченных сообщений неверно пересчитывались счётчики и переменные состояния.
• TROVE-2026-009 - аварийное завершение клиента, вызванное двойным закрытием цепочки при условии нехватки свободной памяти для работы очередей цепочек.
• TROVE-2026-006 - разыменование нулевого указателя, которое может произойти при обработке специально оформленного сообщения CERT.
• TROVE-2026-007 - чтение из области вне выделенного буфера, возникающее при обработке специально оформленного сообщения BEGIN.
Debian уже выпустил обновление пакета [ tor 0.4.9.8-0+deb13u1 ]( https://security-tracker.debian.org/tracker/source-package/tor ) для стабильной версии дистрибутива и 0.4.9.8-1 для нестабильной. Исправления уязвимостей вошли в состав выпусков [ Tor Browser 15.0.13 ]( https://blog.torproject.org/new-release-tor-browser-15013/ ) и [ Tails 7.7.3 ]( https://blog.torproject.org/new-release-tails-7_7_3/ ) .
Несколько дней назад также [ опубликован ]( https://blog.torproject.org/arti_2_3_0_released/ ) выпуск [ Arti 2.3.0 ]( https://gitlab.torproject.org/tpo/core/arti/ ) , реализации инструментария Tor, написанной на языке Rust. Когда код Arti достигнет уровня, способного полностью заменить вариант на Си, разработчики Tor намерены придать Arti статус основной реализации Tor и постепенно прекратить сопровождение реализации на Си. В новой версии
проложено развитие функциональности для релеев и серверов директорий (Directory Authority), добавлен новый RPC API для инспектирования туннелей, предоставлена поддержка сохранения логов через syslog и добавлена настройка logging.protocol_warnings для отражения в логе предупреждений о некорректном использовании протокола.
https://www.linux.org.ru/news/internet/18290053