LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-17-1 tor

Bulletin d'alerte Debian

DLA-17-1 tor -- Mise à jour de sécurité pour LTS

Date du rapport :

31 juillet 2014

Paquets concernés :

tor

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

La version 0.2.2.39 de Tor, précédemment dans Debian Squeeze, n'est plus prise en charge par l'amont.

Cette mise à jour introduit dans Debian Squeeze la version stable actuelle de Tor, 0.2.4.23.

Les modifications comprennent l'utilisation de primitives de chiffrement plus robustes, nettoyant les bignum avant de les libérer pour éviter de laisser des données de clé en mémoire, atténuant plusieurs vecteurs de corrélation, par exemple en désactivant les caches de DNS côté client, en mettant en liste noire les clés de signature d'autorité éventuellement compromises à cause de heartbleed, en mettant à jour la liste des répertoires d'autorité, et bien plus.

Nous vous recommandons de mettre à jour vos paquets tor.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.2.4.23-1~deb6u1 de tor.