Debians sikkerhedsbulletin

DSA-2331-1 tor -- flere sårbarheder

Rapporteret den:
28. okt 2011
Berørte pakker:
tor
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-2768, CVE-2011-2769.
Yderligere oplysninger:

frosty_un opdagede at en designfejl i Tor, et onlineprivatlivsværktøj, gjorde det muligt for ondsindede relayservere at lære visse oplysninger, som de ikke skulle være i stand til at lære. Helt specifikt kunne et relay, som en bruger forbinder sig til direkte, lære hvilke andre relay brugere forbinder sig til direkte. Kombineret med andre angreb kunne problemet føre til deanonymisering af brugeren. Projektet Common Vulnerabilities and Exposures har tildelt CVE-2011-2768 til problemet.

Ud over at rette ovennævnte problemer, retter opdateringerne til den gamle stabile og stabile distribution en række mindre kritiske problemer (CVE-2011-2769). Se indlæg i Tors blog for flere oplysninger.

I den gamle stabile distribution (lenny), er dette problem rettet i version 0.2.1.31-1~lenny+1. På grund af tekniske begræsninger Debians arkiveringscripts, kan opdateringen ikke udgives synkront med pakkerne til den stabile distribution. Den vil blive udgivet om kort tid.

I den stabile distribution (squeeze), er dette problem rettet i version 0.2.1.31-1.

I den ustabile distribution (sid) og i distributionen testing (wheezy), er dette problem rettet i version 0.2.2.34-1.

I den eksperimentelle distribution, er problemet rettet i version 0.2.3.6-alpha-1.

Vi anbefaler at du opgraderer dine tor-pakker.