<div dir="ltr"><div>Hello!</div><div><br></div><div>There are new security releases today.  These releases fix four security issues discovered by Jann Horn and Sergei Glazunov at Google's Project Zero.</div><div><br></div><div>You can find these releases in the usual place at <a href="https://dist.torproject.org">https://dist.torproject.org</a>.  Make sure (as usual) to check the signatures: my key is available at key.cgi?fingerprint=2133BC600AB133E1D826D173FE43009C4607B1FB</div><div><br></div><div>Also of note:</div><div>   * The 0.4.6.5 release is the first stable release in its series.</div><div>   * Tomorrow is end-of-life for the 0.4.4.x series; there will be no more 0.4.4.x releases after today.</div><div>  <br></div><div>For information about how long each series will be supported, see <a href="https://gitlab.torproject.org/tpo/core/team/-/wikis/NetworkTeam/CoreTorReleases">https://gitlab.torproject.org/tpo/core/team/-/wikis/NetworkTeam/CoreTorReleases</a> .<br></div><div><br></div><div>The security issues are as follows.  My recommendation is that nobody should freak out, but everybody should upgrade.<br></div><div><br></div><div>  o Major bugfixes (security):<br>    - Don't allow relays to spoof RELAY_END or RELAY_RESOLVED cell on<br>      half-closed streams. Previously, clients failed to validate which<br>      hop sent these cells: this would allow a relay on a circuit to end<br>      a stream that wasn't actually built with it. Fixes bug 40389;<br>      bugfix on 0.3.5.1-alpha. This issue is also tracked as TROVE-2021-<br>      003 and CVE-2021-34548.<br><br>  o Major bugfixes (security, defense-in-depth):<br>    - Detect more failure conditions from the OpenSSL RNG code.<br>      Previously, we would detect errors from a missing RNG<br>      implementation, but not failures from the RNG code itself.<br>      Fortunately, it appears those failures do not happen in practice<br>      when Tor is using OpenSSL's default RNG implementation. Fixes bug<br>      40390; bugfix on 0.2.8.1-alpha. This issue is also tracked as<br>      TROVE-2021-004. Reported by Jann Horn at Google's Project Zero.</div><div><br></div><div>  o Major bugfixes (security, denial of service):<br>    - Resist a hashtable-based CPU denial-of-service attack against<br>      relays. Previously we used a naive unkeyed hash function to look<br>      up circuits in a circuitmux object. An attacker could exploit this<br>      to construct circuits with chosen circuit IDs, to create<br>      collisions and make the hash table inefficient. Now we use a<br>      SipHash construction here instead. Fixes bug 40391; bugfix on<br>      0.2.4.4-alpha. This issue is also tracked as TROVE-2021-005 and<br>      CVE-2021-34549. Reported by Jann Horn from Google's Project Zero.<br>    - Fix an out-of-bounds memory access in v3 onion service descriptor<br>      parsing. An attacker could exploit this bug by crafting an onion<br>      service descriptor that would crash any client that tried to visit<br>      it. Fixes bug 40392; bugfix on 0.3.0.1-alpha. This issue is also<br>      tracked as TROVE-2021-006 and CVE-2021-34550. Reported by Sergei<br>      Glazunov from Google's Project Zero.</div><div><br></div><div>For complete ChangeLogs for each release, see:</div><div><br></div><div><a href="https://gitweb.torproject.org/tor.git/tree/ChangeLog?h=tor-0.3.5.15">https://gitweb.torproject.org/tor.git/tree/ChangeLog?h=tor-0.3.5.15</a></div><div><div><a href="https://gitweb.torproject.org/tor.git/tree/ChangeLog?h=tor-0.4.4.9">https://gitweb.torproject.org/tor.git/tree/ChangeLog?h=tor-0.4.4.9</a></div></div><div><div><a href="https://gitweb.torproject.org/tor.git/tree/ChangeLog?h=tor-0.4.5.9">https://gitweb.torproject.org/tor.git/tree/ChangeLog?h=tor-0.4.5.9</a></div></div><div><div><a href="https://gitweb.torproject.org/tor.git/tree/ChangeLog?h=tor-0.4.6.5">https://gitweb.torproject.org/tor.git/tree/ChangeLog?h=tor-0.4.6.5</a></div><div><br></div><div>For the ReleaseNotes for the 0.4.6.x series as a whole, see:</div><div><br></div><div><a href="https://gitweb.torproject.org/tor.git/tree/ReleaseNotes?h=tor-0.4.6.5">https://gitweb.torproject.org/tor.git/tree/ReleaseNotes?h=tor-0.4.6.5</a></div><div><br></div><div>I'll send out announcements after the download page has updated.<br></div><div><br></div><div><br></div><div>best wishes,<br></div><div>-- <br></div><div>Nick<br></div></div></div>