Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2548-1 tor

Säkerhetsbulletin från Debian

DSA-2548-1 tor -- flera sårbarheter

Rapporterat den:

2012-09-13

Berörda paket:

tor

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-3518, CVE-2012-3519, CVE-2012-4419.

Ytterligare information:

Flera sårbarheter har upptäckts i Tor, ett verktyg för onlineanonymisering.

• CVE-2012-3518

  Undvik en läsning av icke initierat minne vid läsning av röstnings- eller konsensusdokument som har ett smaknamn som inte känns igen. Detta kunde leda till en fjärrkrasch, som resulterar i överbelastning.

• CVE-2012-3519

  Försök att läcka mindre information om vilka reläer som en klient väljer till en sido-kanalsangripare.

• CVE-2012-4419

  Genom att tillhandahålla speciellt skapade datumsträngar till en offerinstans av Tor, kan en angripare orsaka den att köra tills en assertion får den att stängas ner.

Utöver detta innehåller denna uppdatering till den stabila utgåvan följande rättningar: vid väntan på en klient att omförhandla, tillåt inte den att lägga till några bytes till indatabufferten. Detta rättar ett potentiellt överbelastningsproblem [tor-5934, tor-6007].

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 0.2.2.39-1.

För den instabila utgåvan har dessa problem rättats i version 0.2.3.22-rc-1.

Vi rekommenderar att ni uppgraderar era tor-paket.