セキュリティ情報 / 2010 / セキュリティ情報 -- DSA-2136-1 tor

Debian セキュリティ勧告

DSA-2136-1 tor -- バッファオーバフロー

報告日時:

2010-12-21

影響を受けるパッケージ:

tor

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2010-1676.

詳細:

Willem Pinckaers さんにより、オンラインでの匿名性を実現するツ ール Tor がネットワークから読んだデータ全てを正しく処理してい ないことが発見されました。細工したパケットを与えることで、リ モートの攻撃者が Tor のヒープを溢れさせ、プロセスをクラッシュ させることが可能です。任意のコードの実行は確認されていません が、潜在的な危険はあります。

安定版 (stable) ディストリビューション向けパッケージでは、今回 の更新には Tor ディレクトリオーソリティ gabelmoo の IP アドレ ス更新と、パッケージの postinst メンテナスクリプトの脆弱性の対 処が含まれています。

安定版 (stable) ディストリビューション (lenny) では、この問題 はバージョン 0.2.1.26-1~lenny+4 で修正されています。

テスト版 (squeeze) および不安定版 (unstable) ディストリビュー ションでは、この問題はバージョン 0.2.1.26-6 で修正されています。

直ぐに tor パッケージをアップグレードすることを勧めます。