Säkerhetsbulletin från Debian

DSA-2993-1 tor -- säkerhetsuppdatering

Rapporterat den:
2014-07-31
Berörda paket:
tor
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-5117.
Ytterligare information:

Flera problem har upptäckts i Tor, ett anslutningsbaserat low-latency anonymt kommunikationssystem, vilket resulterar i informationsläckage.

  • Relay-early-celler kunde användas av reläer i maskopi på nätverket för att tagga användarkretsar och på så vis utföra trafikkonfirmationsangrepp [CVE-2014-5117]. Den uppdaterade versionen ger en varning och släpper kretsen när den mottar ankommande relay-early-celler, vilket förhindrar denna typ av attack. Vänligen se följande bulletin för mer detaljer om detta problem:

    https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack

  • Ett fel i gränskontrollerna i 32-bitars curve25519-donna-implementationen kunde orsaka felaktiga resultat på 32-bitarsimplementationer när vissa felaktigt formaterade indata användes tillsammans med en liten klass av privata ntor-nycklar. Denna brist verkar inte för närvarande tillåta en angripare att få åtkomst till privata nycklar eller att personifiera en Tor-server, men det kunde ge en möjlighet att identifiera 32-bitars Torimplementationer från 64-bitars Torimplementationer.

Följande ytterligare säkerhetsrelaterade förbättringar har implementerats:

  • Som klient kommer den nya versionen att effektivt sluta använda CREATE_FAST-celler. Medan detta lägger till beräkningsbelastning till nätverket kommer detta tillvägagångssätt kunna förbättra säkerheten på anslutningar där Tor's kretshandskakning är starkare än den tillgängliga säkerhetsnivån i TLS-anslutningar.

  • Förbered klienter att använda färre instegsvakter genom att hedra konsensusparametrarna. Följande artikel ger bakgrund:

    https://blog.torproject.org/blog/improving-tors-anonymity-changing-guard-parameters

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 0.2.4.23-1~deb7u1.

För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid) har dessa problem rättats i version 0.2.4.23-1.

För den experimentella distributionen har dessa problem rättats i version 0.2.5.6-alpha-1.

Vi rekommenderar att ni uppgraderar era tor-paket.