Долгосрочная поддержка Debian / Информация о безопасности LTS / 2014 / Информация о безопасности -- DLA-17-1 tor

Рекомендация Debian по безопасности

DLA-17-1 tor -- обновление безопасности LTS

Дата сообщения:

31.07.2014

Затронутые пакеты:

tor

Уязвим:

Да

Ссылки на базы данных по безопасности:

На данный момент ссылки на внешние базы данных по безопасности отсутствуют.

Более подробная информация:

Версия Tor, которая ранее была в составе Debian squeeze, 0.2.2.39, более не поддерживается основной веткой разработки.

Данное обновление добавляет в Debian squeeze текущую стабильную версию Tor, 0.2.4.23.

Среди изменений можно указать использование более стойких примитивов шифрования, выполнение очистки сверхбольших чисел до их освобождения с целью избежать ситуаций, когда часть материала ключа оставалась в памяти, снижение риска для ряда векторов, связанных с возможностью компоновки, например, путём отключения кеширования DNS на стороне клиента, добавление ключей авторитетов, которые потенциально были скомпрометированы атакой heartbleed, обновление списка авторитетов и многое другое.

Рекомендуется обновить пакеты tor.

В Debian 6 Squeeze эти проблемы были исправлены в пакете tor версии 0.2.4.23-1~deb6u1