Информация по безопасности / 2015 / Информация о безопасности -- DSA-3203-1 tor

Рекомендация Debian по безопасности

DSA-3203-1 tor -- обновление безопасности

Дата сообщения:

22.03.2015

Затронутые пакеты:

tor

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-2688, CVE-2015-2689.

Более подробная информация:

В Tor, анонимной системе взаимодействия на основе соединений с низкой задержкой, были обнаружены несколько отказов в обслуживании.

• Jowr обнаружил, что очень высокая нагрузка по DNS запросам на активный узел сети может приводить к ошибке утверждений.

• Активный узел сети может аварийно завершить свою работу с ошибкой утверждений в случае, если буфер с некорректной разметкой будет передан функции buf_pullup() в некорректное время.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.2.4.26-1.

В тестируемом (jessie) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 0.2.5.11-1.

Более того, данное обновление отключает поддержку SSLv3 в Tor. Все используемые вместе с Tor версии OpenSSL поддерживают TLS 1.0 или более поздние версии.

Кроме того, данный выпуск содержит обновление базы данных geoIP, используемой Tor, а также списка авторитетных серверов, используемых клиентами Tor для запуска, а также для подписи документов каталога Tor.

Рекомендуется обновить пакеты tor.