Информация по безопасности / 2010 / Информация о безопасности -- DSA-2136-1 tor

Рекомендация Debian по безопасности

DSA-2136-1 tor -- переполнение буфера

Дата сообщения:

21.12.2010

Затронутые пакеты:

tor

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2010-1676.

Более подробная информация:

Уильям Пинкерс обнаружил, что Tor, инструмент для анонимности в сети, неправильно обрабатывает все чтения данных из сети. Передавая специально сформированные пакеты, удалённый злоумышленник может заставить Tor вызвать переполнение выделенной ему динамической памяти, аварийно завершая работы процесса. Выполнение произвольного кода не было подтверждено, но потенциальный риск этого имеется.

В стабильном выпуске (lenny) это обновление содержит и обновление IP адреса авторитета каталога Tor, gabelmoo, и исправляет уязвимость в постустановочном сценарии.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 0.2.1.26-1~lenny+4.

В тестируемом (squeeze) и нестабильном (sid) выпусках эта проблема была исправлена в версии 0.2.1.26-6.

Рекомендуется обновить пакеты tor.