Bulletin d'alerte Debian

DLA-187-1 tor -- Mise à jour de sécurité pour LTS

Date du rapport :
7 avril 2015
Paquets concernés :
tor
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-2928, CVE-2015-2929.
Plus de précisions :

Plusieurs problèmes de déni de service liés à un service caché ont été découverts dans Tor, un système de communication anonyme à faible latence, basé sur les connexions :

disgleirio a découvert qu'un client malveillant pourrait déclencher un échec d'assertion dans une instance de Tor fournissant un service caché, rendant ainsi le service inaccessible. [CVE-2015-2928]

DonnchaC a découvert que les clients Tor pourrait planter avec un échec d'assertion en analysant des descripteurs de service caché contrefaits pour l'occasion. [CVE-2015-2929]

Les points d'introduction accepteraient de multiples cellules INTRODUCE1 dans un circuit, rendant peu coûteux pour un attaquant la surcharge d'un service caché avec des introductions. Les points d'introduction ne permettent plus maintenant de multiples cellules de ce type dans le même circuit.