Debian セキュリティ勧告
DSA-2136-1 tor -- バッファオーバフロー
- 報告日時:
- 2010-12-21
- 影響を受けるパッケージ:
- tor
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2010-1676.
- 詳細:
-
Willem Pinckaers さんにより、オンラインでの匿名性を実現するツ ール Tor がネットワークから読んだデータ全てを正しく処理してい ないことが発見されました。細工したパケットを与えることで、リ モートの攻撃者が Tor のヒープを溢れさせ、プロセスをクラッシュ させることが可能です。任意のコードの実行は確認されていません が、潜在的な危険はあります。
安定版 (stable) ディストリビューション向けパッケージでは、今回 の更新には Tor ディレクトリオーソリティ gabelmoo の IP アドレ ス更新と、パッケージの postinst メンテナスクリプトの脆弱性の対 処が含まれています。
安定版 (stable) ディストリビューション (lenny) では、この問題 はバージョン 0.2.1.26-1~lenny+4 で修正されています。
テスト版 (squeeze) および不安定版 (unstable) ディストリビュー ションでは、この問題はバージョン 0.2.1.26-6 で修正されています。
直ぐに tor パッケージをアップグレードすることを勧めます。