Debian セキュリティ勧告
DLA-17-1 tor -- LTS セキュリティ更新
- 報告日時:
- 2014-07-31
- 影響を受けるパッケージ:
- tor
- 危険性:
- あり
- 参考セキュリティデータベース:
- 現時点では、その他の外部参考セキュリティデータベースはありません。
- 詳細:
-
以前 Debian squeeze にあった Tor バージョン 0.2.2.39 は上流ではサポートされなくなっています。
この更新で Tor の現在の安定版 0.2.4.23 が Debian squeeze に入ります。
変更点は、より強い暗号プリミティブの利用、 巨大数を解放前に常にクリアし、鍵の中身がメモリに残らないように、 クライアント側のDNSキャッシュを無効化する等の手法による複数のリンク性を軽減、heartbleed によって潜在的に侵害されている認証局署名鍵をブラックリスト、 ディレクトリ権威サーバ一覧を更新、その他にも多数あります。
直ちに tor パッケージをアップグレードすることを勧めます。
Debian 6
Squeeze
では、この問題は tor バージョン 0.2.4.23-1~deb6u1 で修正されています。