Рекомендация Debian по безопасности

DSA-2993-1 tor -- обновление безопасности

Дата сообщения:
31.07.2014
Затронутые пакеты:
tor
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-5117.
Более подробная информация:

В Tor, анонимной системе передачи данных с низкой задержкой, были обнаружены несколько проблем, приводящих к утечкам информации.

  • Сообщения ретрансляторов раннего выхода могут использоваться для совместной тайной отметки ретрансляторами сети пользовательских маршрутов и, следовательно, осуществления атак по принципу подтверждения трафика [CVE-2014-5117]. Загруженная версия программы выводит предупреждение и сбрасывает данные маршрута при получении входящих сообщений ретрансляторов раннего выхода, что помогает предотвратить этот конкретный вид атак. За дополнительной информацией по этой проблеме обратитесь к следующей рекомендации:

    https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack

  • Ошибка в проверке границ массива в 32-х битной реализации curve25519-donna может приводить к некорректным результатам на 32-х битных реализациях при использовании некоторых некорректных вводных данных вместе с небольшим классом закрытых ключей ntor. Данная уязвимость в настоящее время не позволяет злоумышленнику определить закрытые ключи, либо определить сервер Tor, но она позволяет отличить 32-х битную реализацию Tor от 64-х битной реализации.

Также были реализованы следующие дополнительные улучшения, связанные с безпасностью:

  • Клиент новой версии эффективно останавливается при использовании сообщений CREATE_FAST. Хотя это и увеличивает вычислительную нагрузку на сеть, этот подход может улучшить безопасность соединений, в которых рукопожатие маршрута Tor сильнее, чем доступные уровни TLS соединения.

  • Подготовка клиентов к использованию защитников с меньшим количеством составляющих, благодаря специальным параметрам. Следующая статья предоставляет некоторую базовую информацию об этом:

    https://blog.torproject.org/blog/improving-tors-anonymity-changing-guard-parameters

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.2.4.23-1~deb7u1.

В тестируемом (jessie) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 0.2.4.23-1.

В экспериментальном выпуске эти проблемы были исправлены в версии 0.2.5.6-alpha-1.

Рекомендуется обновить пакеты tor.