Debians sikkerhedsbulletin
DSA-2136-1 tor -- bufferoverløb
- Rapporteret den:
- 21. dec 2010
- Berørte pakker:
- tor
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2010-1676.
- Yderligere oplysninger:
-
Willem Pinckaers opdagede at Tor, et værktøj som muliggør onlineanonymitet, ikke på korrekt vis håndterede alle data læst fra netværket. Ved at levere særligt fremstillede pakker kunne en fjernangriber få Tors heap til at løbe over, hvilket fik processen til at gå ned. Udførelse af vilkårlig kode er ikke blevet bekræftet, men der er en potentiel risiko.
I den stabile distribution (lenny), indeholder denne opdatering også en opdatering af IP-adressen til Tors directory authority gabelmoo og håndterer en svaghed i pakkens postinst-vedligeholderskript.
I den stabile distribution (lenny) er dette problem rettet i version 0.2.1.26-1~lenny+4.
I distributionen testing (squeeze) og i den ustabile distribution (sid), er dette problem rettet i version 0.2.1.26-6.
Vi anbefaler at du opgraderer dine tor-pakker.