Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2548-1 tor

Bulletin d'alerte Debian

DSA-2548-1 tor -- Plusieurs vulnérabilités

Date du rapport :

13 septembre 2012

Paquets concernés :

tor

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-3518, CVE-2012-3519, CVE-2012-4419.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Tor, un outil d'anonymat en ligne.

• CVE-2012-3518

  Éviter une lecture de mémoire non initialisée lors de la lecture d'un vote ou d'un document de consensus qui a un nom de saveur non reconnu. Cela pourrait conduire à un plantage distant, avec pour conséquence un déni de service.

• CVE-2012-3519

  Essayer de limiter la fuite d'informations sur les relais choisis par un client à un attaquant par canal auxiliaire.

• CVE-2012-4419

  En fournissant des chaînes de date contrefaites pour l'occasion à une instance tor victime, un attaquant peut la forcer à se heurter à une assertion et s'arrêter.

De plus, la mise à jour pour stable intègre les corrections suivantes : lors de l'attente de renégociation de la part d'un client, ne pas permettre d'ajouter d'octet au tampon d'entrée. Cela corrige un problème éventuel de déni de service [tor-5934, tor-6007].

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.2.2.39-1.

Pour la distribution unstable, ces problèmes ont été corrigés dans la version 0.2.3.22-rc-1.

Nous vous recommandons de mettre à jour vos paquets tor.