Säkerhetsbulletin från Debian

DSA-2331-1 tor -- flera sårbarheter

Rapporterat den:
2011-10-28
Berörda paket:
tor
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2011-2768, CVE-2011-2769.
Ytterligare information:

Det har upptäckts av frosty_un att ett designmisstag i Tor, ett onlinesekretessverktyg tillåter illasinnade relayservrar att lära viss information som som skulle ha möjlighet att lära. Specifikt kunde en relay som en användare ansluter till direkt lära vilka andra relays som användaren är ansluten till direkt. I kombination med andra angrepp kan denna brist leda till deanonymisering av användaren. Projektet Common Vulnerabilities and Exposures har tilldelat CVE-2011-2768 till detta problem.

Utöver att rätta ovan nämnda problem rättar uppdateringarna till den gamla stabila utgåvan och den stabila utgåvan ett antal mindre kritiska problem (CVE-2011-2769). Vänligen se posten på Tor-bloggen för ytterligare information.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 0.2.1.31-1~lenny+1. På grund av tekniska begränsningar i Debianarkivskripten kan denna uppdatering inte släppas synkront med paketen för den stabila utgåvan. Den kommer att släppas inom kort.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 0.2.1.31-1.

För den instabila distributionen (Sid) och uttestningsutgåvan (Wheezy) har detta problem rättats i version 0.2.2.34-1.

För den experimentella distributionen har detta problem rättats i version 0.2.3.6-alpha-1.

Vi rekommenderar att ni uppgraderar era tor-paket.