Bulletin d'alerte Debian

DLA-663-1 tor -- Mise à jour de sécurité pour LTS

Date du rapport :
18 octobre 2016
Paquets concernés :
tor
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Il a été découvert que Tor traitait le contenu de certains morceaux de tampon comme si c'était une chaîne terminée par un caractère NUL. Ce problème pourrait permettre à un attaquant distant de planter un client, un service caché, un relais ou une autorité Tor. Cette mise à jour vise à se défendre contre cette classe générale de bogues.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 0.2.4.27-2.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 0.2.5.12-3., pour unstable (Sid) avec la version 0.2.8.9-1, et pour experimental avec la version 0.2.9.4-alpha-1.

En complément, pour Wheezy, cela met à jour l'ensemble des serveurs de répertoires d'autorité vers celui venant de Tor 0.2.8.7, publié en août 2016.

Nous vous recommandons de mettre à jour vos paquets tor.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.