17 уязвимостей в Tor: опубликованы результаты второго аудита безопасности

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Отказ в обслуживании, устаревшее ПО – есть на что обратить внимание.

Команда разработчиков анонимной сети Tor опубликовала отчёт по итогам второй инспекции , осуществлённой компанией Radically Open Security с апреля по август 2023 года. В рамках проверки были изучены код для обеспечения работы выходных узлов, браузер Tor Browser, элементы инфраструктуры (сбор метрик, SWBS, API Onionoo), а также утилиты для тестирования. Основная цель данной проверки заключалась в оценке изменений, внесённых для повышения скорости и надёжности сети Tor, таких как добавленный в выпуске Tor 0.4.8 протокол разделения трафика Conflux и методы защиты Onion-сервисов от DoS-атак на основе доказательства выполнения работы..

Забудь про блокировки! VPN через Телеграмм-бот для России!

В процессе аудита было обнаружено 17 уязвимостей, из которых одна признана критической. Четыре уязвимости получили оценку средней степени опасности, а остальные 12 – незначительной. Самая серьёзная уязвимость была найдена в приложении onbasca (Onion Bandwidth Scanner), используемом для анализа пропускной способности узлов сети. Уязвимость связана с возможностью отправки запросов через HTTP-метод GET, позволяющих выполнить подстановку межсайтовых запросов от лица другого пользователя (CSRF, Cross-Site Request Forgery), что даёт атакующему возможность добавить свои мостовые узлы в БД через манипуляции с параметром “bridge_lines”.

Уязвимости со средней степенью опасности включают:

  • Отказ в обслуживании в metrics-lib: передача большого сжатого файла может вызвать исчерпание оперативной памяти, подобно zip-бомбе.
  • Использование устаревшего модуля tun2socks в tor-android-service, который используется в Tor Browser для Android.
  • Запись нулевого байта за границу выделенного буфера в клиенте Tor из-за неправильной работы функции read_file_to_str_until_eof.
  • Уязвимость в Simple Bandwidth Scanner (sbws), позволяющая откатить HTTPS-соединение до HTTP через редирект, что может привести к утечке API-токенов при использовании атакующим выходного узла Tor.
  Будущее за ленивыми людьми? Система OK-Robot учит роботов делать всю работу за нас

Ваши гаджеты следят за вами. Мы знаем, как это остановить!

Присоединяйтесь

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.