セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2363-1 tor

Debian セキュリティ勧告

DSA-2363-1 tor -- バッファオーバフロー

報告日時:

2011-12-16

影響を受けるパッケージ:

tor

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-2778.

詳細:

オンラインプライバシツール tor に、欠陥が発見されました。SOCKS コネク ションを用いた特定条件下で、tor がバッファサイズの計算を誤るため、悪 意を持ったパーティからヒープベースのバッファオーバフローを引き起こす ことが可能で、任意のコードの実行を許す潜在的な可能性があります。

この問題は通常は Tor の socks ポートに接続可能なクライアントからのみ 攻撃可能ですが、Tor の標準の設定では同ポートに接続可能なのは localhost のみです。

Tor が localhost 以外の SocksPort をリスンする設定、または Tor が外向 きの接続で他の socks サーバを用いる設定など、標準とは異なった設定を用 いている場合は、Tor はより広い範囲の悪意を持ったパーティから攻撃可能 となります。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 0.2.1.32-1 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバ ージョン 0.2.2.35-1~squeeze+1 で修正されています。

不安定版 (unstable) とテスト版 (testing) ディストリビューションでは、 この問題はバージョン 0.2.2.35-1 で修正されています。

実験版ディストリビューションでは、この問題はバージョン 0.2.3.10-alpha-1 で修正されています。

直ぐに tor パッケージをアップグレードすることを勧めます。