Опубликован корректирующий выпуск инструментария Tor 0.4.7.8, используемого для организации работы анонимной сети Tor.
В новой версии устранена уязвимость (CVE-2022-33903), которую можно использовать для удалённого инициирования отказа в обслуживании. Также не исключается потенциальное влияние проблемы на обеспечение анонимности.
Детали не раскрываются до обновления пакетов в основных дистрибутивах, упомянуто только то, что удалённый атакующий может влиять на прогнозирование пропускной способности в реализации протокола управления перегрузкой (RTT Congestion Control), что может приводить к снижению производительности клиентов, onion-сервисов и промежуточных узлов.
В анонсе нового выпуска упомянут старый CVE-2021-38385, связанный с исправленной в прошлых ветках проблемой, которая приводит к завершению процесса из-за срабатывания assert-проверки в случае расхождения проверки цифровых подписей по отдельности и в пакетном режиме.
