Информация по безопасности / 2012 / Информация о безопасности -- DSA-2548-1 tor

Рекомендация Debian по безопасности

DSA-2548-1 tor -- несколько уязвимостей

Дата сообщения:

13.09.2012

Затронутые пакеты:

tor

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-3518, CVE-2012-3519, CVE-2012-4419.

Более подробная информация:

В Tor, инструменте для обеспечения приватности онлайн, было обнаружено несколько уязвимостей.

• CVE-2012-3518

  Предотвращение чтения неинициализированной памяти при чтении голоса или документа консенсуса, имеющего нераспознанное имя разновидности. Это может приводить к удалённой аварийной остановке, что приводит к отказу в обслуживании.

• CVE-2012-3519

  Попытка утечки небольшого количества информации о том, какие активные узлы выбирает клиент, через сторонний канал.

• CVE-2012-4419

  Передавая специально сформированные строки с датами жертве, злоумышленник может вызвать срабатывание утверждения и завершение работы.

Кроме того, данное обновление стабильного выпуска включает в себя следующие исправления: не добавлять какие-либо байты во входной буфер в ходе ожидании клиента с целью повторного согласования. Это исправляет потенциальный отказ в обслуживании [tor-5934, tor-6007].

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 0.2.2.39-1.

В нестабильном выпуске эти проблемы были исправлены в версии 0.2.3.22-rc-1.

Рекомендуется обновить пакеты tor.