Debian セキュリティ勧告

DSA-2148-1 tor -- 複数の脆弱性

報告日時:
2011-01-17
影響を受けるパッケージ:
tor
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2011-0427.
詳細:

TCP 向け匿名オーバレイネットワーク Tor の開発者チームにより、セキュリ ティ監査で3つの問題が発見されました。ヒープオーバフローにより任意のコ ードの実行を許す問題 (CVE-2011-0427)、 zlib の圧縮処理の際にサービス拒 否攻撃を許す問題、および鍵メモリの一部が誤って解放前に 0 に初期化され る問題です。2番目と3番目の問題にはまだ CVE 番号は取られていません。番 号が取られ次第、Debian セキュリティトラッカは更新予定です。 http://security-tracker.debian.org/tracker/source-package/tor

安定版 (stable) ディストリビューション (lenny) では、この問題はバー ジョン 0.2.1.29-1~lenny+1 で修正されています。

テスト版 (squeeze) および不安定版 (unstable) ディストリビューション では、この問題はバージョン 0.2.1.29-1 で修正されています。

実験版 (experimental) ディストリビューションでは、この問題はバージョ ン 0.2.2.21-alpha-1 で修正されています。

直ぐに tor パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシステム に適用する方法、FAQ などは http://www.debian.org/security/ を参 照ください。