Informations de sécurité / 2010 / Informations sur la sécurité -- DSA-2136-1 tor

Bulletin d'alerte Debian

DSA-2136-1 tor -- Débordement de tampon

Date du rapport :

21 décembre 2010

Paquets concernés :

tor

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2010-1676.

Plus de précisions :

Willem Pinckaers a découvert que Tor, un outil pour activer l'anonymat en ligne, ne traite pas correctement toutes les données lues depuis le réseau. En fournissant des paquets contrefaits spécialement, un attaquant distant peut forcer Tor à dépasser son tas, en plantant le processus. L'exécution de code arbitraire n'a pas été confirmée mais il y a potentiellement un risque.

Dans la distribution stable (Lenny), cette mise à jour intègre aussi une mise à jour de l'adresse IP du répertoire Tor du tiers de confiance gabelmoo et corrige une faiblesse dans le script du responsable de fin d'installation.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.2.1.26-1~lenny+4.

Pour la distribution unstable (Sid) et la distribution testing (Squeeze), ce problème a été corrigé dans la version 0.2.1.26-6.

Nous vous recommandons de mettre à jour vos paquets tor.