Bulletin d'alerte Debian

DSA-2331-1 tor -- Plusieurs vulnérabilités

Date du rapport :
28 octobre 2011
Paquets concernés :
tor
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-2768, CVE-2011-2769.
Plus de précisions :

frosty_un a découvert qu'un défaut de conception dans Tor, un outil d'anonymat en ligne, permet aux serveurs relais malveillants de prendre connaissance de certains renseignements auxquels ils ne devraient pas avoir accès. Spécifiquement, un relais auquel un utilisateur se connecte directement pourrait savoir à quels autres relais l'utilisateur est directement connecté. Combiné avec d'autres attaques, ce problème peut conduire à la désanonymisation de l'utilisateur. Le projet « Common Vulnerabilities and Exposures » (CVE) a assigné CVE-2011-2768 à ce problème.

En plus de corriger les problèmes mentionnés ci-dessus, les mises à jour pour oldstable et stable corrigent plusieurs autres problèmes moins critiques (CVE-2011-2769). Veuillez consulter l'annonce sur le blog de Tor pour plus de renseignements.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.2.1.31-1~lenny+1. À cause de limitations techniques dans les scripts de l'archive Debian, la mise à jour ne peut pas être publiée en synchronisation avec les paquets pour stable. Cela sera publié dans peu de temps.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.2.1.31-1.

Pour la distribution unstable (Sid) et la distribution testing (Wheezy), ce problème a été corrigé dans la version 0.2.2.34-1.

Pour la distribution experimental, ce problème a été corrigé dans la version 0.2.3.6-alpha-1.

Nous vous recommandons de mettre à jour vos paquets tor.