Рекомендация Debian по безопасности

DSA-3203-1 tor -- обновление безопасности

Дата сообщения:
22.03.2015
Затронутые пакеты:
tor
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-2688, CVE-2015-2689.
Более подробная информация:

В Tor, анонимной системе взаимодействия на основе соединений с низкой задержкой, были обнаружены несколько отказов в обслуживании.

  • Jowr обнаружил, что очень высокая нагрузка по DNS запросам на активный узел сети может приводить к ошибке утверждений.

  • Активный узел сети может аварийно завершить свою работу с ошибкой утверждений в случае, если буфер с некорректной разметкой будет передан функции buf_pullup() в некорректное время.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.2.4.26-1.

В тестируемом (jessie) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 0.2.5.11-1.

Более того, данное обновление отключает поддержку SSLv3 в Tor. Все используемые вместе с Tor версии OpenSSL поддерживают TLS 1.0 или более поздние версии.

Кроме того, данный выпуск содержит обновление базы данных geoIP, используемой Tor, а также списка авторитетных серверов, используемых клиентами Tor для запуска, а также для подписи документов каталога Tor.

Рекомендуется обновить пакеты tor.