Рекомендация Debian по безопасности

DLA-178-1 tor -- обновление безопасности LTS

Дата сообщения:
22.03.2015
Затронутые пакеты:
tor
Уязвим:
Да
Ссылки на базы данных по безопасности:
На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
Более подробная информация:

В Tor, системе анонимного взаимодействия с низкой задержкой на основе соединений, было обнаружено несколько проблем.

Jowr обнаружил, что очень высокая загрузка по DNS-запросам на узле может вызвать ошибку утверждения.

Узел может аварийно завершить работу с ошибкой утверждения в том случае, если функции buf_pullup() будет передан буфер с неправильной разметкой в неподходящее время.

При отправлении адреса выбранной точки встречи скрытому сервису клиенты этого сервиса раскрываются в том случае, если они используют системы с порядком байтов от младшего к старшему или от старшего к младшему.

Кроме того, данное обновление отключает поддержку SSLv3 в Tor. Все версии OpenSSL, используемые в настоящее время в Tor поддерживают TLS 1.0 и более поздних версиях.

Также данный выпуск содержит обновление базы данных geoIP, используемой Tor, а также обновление списка каталогов авторитетных серверов, которые клиенты Tor используют для запуска и которым доверяют подписание документа согласия каталога Tor.

В Debian 6 Squeeze эти проблемы были исправлены в tor версии 0.2.4.26-1~deb6u1