Bulletin d'alerte Debian

DSA-2993-1 tor -- Mise à jour de sécurité

Date du rapport :
31 juillet 2014
Paquets concernés :
tor
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-5117.
Plus de précisions :

>Plusieurs problèmes ont été découverts dans Tor, un système de communication anonyme à faible latence, basé sur les connexions, résultant en des fuites d'informations.

  • Les cellules de relais d'entrée pourraient être utilisées en connivence avec des relais sur le réseau pour marquer les circuits des utilisateurs et ainsi mettre en œuvre des attaques de confirmation de trafic [CVE-2014-5117]. La version mise à jour émet un avertissement et abandonne le circuit à la réception des cellules de relais d'entrée, empêchant ce type particulier d'attaque. Veuillez consulter l'alerte suivante pour plus de détail sur ce problème :

    https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attaque

  • Un bogue dans les vérifications de limites dans l'implémentation 32 bits de curve25519-donna pourrait entraîner des résultats incorrects sur les implémentations 32 bits lorsque certaines entrées malformées sont utilisées avec une petite classe de clés privées ntor. Ce défaut ne paraît pas actuellement permettre à un attaquant de prendre connaissance de clés privées ou d'usurper un serveur Tor, mais il pourrait fournir un moyen de distinguer les implémentations 32 bits de Tor des implémentations 64 bits.

Les améliorations suivantes, concernant la sécurité, ont aussi été implémentées :

  • Côté client, la nouvelle version va effectivement cesser d'utiliser les cellules CREATE_FAST. Même si cela ajoute une charge de calcul sur le réseau, cette approche peut améliorer la sécurité dans les connexions où l'initiation de connexion de circuit de Tor est plus solide que les niveaux de sécurité disponibles des connexions TLS.

  • Préparation des clients à utiliser moins de nœuds gardiens d'entrée en respectant les paramètres de consensus. L'article suivant fournit quelques informations :

    https://blog.torproject.org/blog/improving-tors-anonymity-changing-guard-parameters

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 0.2.4.23-1~deb7u1.

Pour la distribution testing (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.2.4.23-1.

Pour la distribution experimental, ces problèmes ont été corrigés dans la version 0.2.5.6-alpha-1.

Nous vous recommandons de mettre à jour vos paquets tor.