Рекомендация Debian по безопасности

DSA-2331-1 tor -- несколько уязвимостей

Дата сообщения:
28.10.2011
Затронутые пакеты:
tor
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-2768, CVE-2011-2769.
Более подробная информация:

frosty_un обнаружил, что ошибка разработки в Tor, инструменте для обеспечения приватности онлайн, позволяет вредоносным узлам получать определённую информацию, которую они знать не должны. В частности, узел, к которому пользователь подключается непосредственно, может узнать, к каким другим узлам этот пользователь также подключен напрямую. Вместе с другими видами атак эта проблема может приводить к деанонимизации пользователя. Проект Common Vulnerabilities and Exposures назначил этой проблеме идентификатор CVE-2011-2768.

Кроме того, данное обновление предыдущего стабильного и стабильного выпусков исправляет несколько менее критичных проблем (CVE-2011-2769). Дополнительную информацию смотрите в сообщении из блога Tor.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 0.2.1.31-1~lenny+1. В связи с техническими ограничениями сценариев для работы архива Debian это обновление не может быть выпущено одновременно с пакетами для стабильного выпуска. Обновление будет выпущено в ближайшее время.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 0.2.1.31-1.

В нестабильном (sid) и тестируемом (wheezy) выпусках эта проблема была исправлена в версии 0.2.2.34-1.

В экспериментальном выпуске эта проблема была исправлена в версии 0.2.3.6-alpha-1.

Рекомендуется обновить пакеты tor.