セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2548-1 tor

Debian セキュリティ勧告

DSA-2548-1 tor -- 複数の脆弱性

報告日時:

2012-09-13

影響を受けるパッケージ:

tor

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-3518, CVE-2012-3519, CVE-2012-4419.

詳細:

オンライン個人情報保護ツールの Tor に複数の脆弱性が見つかりました。

• CVE-2012-3518

  解釈できないフレーバー名を持つ投票あるいは総意の文書を読む際に初期化さ れていないメモリを読むことを回避しました。これは、サービス拒否を引き起 こすことになる遠隔での異常終了に繋がる可能性がありました。

• CVE-2012-3519

  クライアントがどのリレーを選んでいるか、についての情報が隣接チャンネル 攻撃によって攻撃者へ漏洩するのを少なくするようにしました。

• CVE-2012-4419

  攻撃者は狙いを付けた tor インスタンスへ特別に細工を施した日付の文字列を 送りつけることで，アサーション※の中に処理を進めさせてインスタンスを終了 させることができます。

これらに加えて，安定版では次に掲げる修正も更新版に含まれます: クライアントが通信の前手順をやり直すのを待つ間，入力バッファにデータを 何も受け入れないようにしました。この修正で，潜在的なサービス拒否の問題 を解決しています [tor-5934, tor-6007]。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバー ジョン 0.2.2.39-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョ ン 0.2.3.22-rc-1 で修正されています。

直ぐに tor パッケージをアップグレードすることを勧めます。