Информация по безопасности / 2014 / Информация о безопасности -- DSA-2993-1 tor

Рекомендация Debian по безопасности

DSA-2993-1 tor -- обновление безопасности

Дата сообщения:

31.07.2014

Затронутые пакеты:

tor

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-5117.

Более подробная информация:

В Tor, анонимной системе передачи данных с низкой задержкой, были обнаружены несколько проблем, приводящих к утечкам информации.

• Сообщения ретрансляторов раннего выхода могут использоваться для совместной тайной отметки ретрансляторами сети пользовательских маршрутов и, следовательно, осуществления атак по принципу подтверждения трафика [CVE-2014-5117]. Загруженная версия программы выводит предупреждение и сбрасывает данные маршрута при получении входящих сообщений ретрансляторов раннего выхода, что помогает предотвратить этот конкретный вид атак. За дополнительной информацией по этой проблеме обратитесь к следующей рекомендации:

  https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack

• Ошибка в проверке границ массива в 32-х битной реализации curve25519-donna может приводить к некорректным результатам на 32-х битных реализациях при использовании некоторых некорректных вводных данных вместе с небольшим классом закрытых ключей ntor. Данная уязвимость в настоящее время не позволяет злоумышленнику определить закрытые ключи, либо определить сервер Tor, но она позволяет отличить 32-х битную реализацию Tor от 64-х битной реализации.

Также были реализованы следующие дополнительные улучшения, связанные с безпасностью:

• Клиент новой версии эффективно останавливается при использовании сообщений CREATE_FAST. Хотя это и увеличивает вычислительную нагрузку на сеть, этот подход может улучшить безопасность соединений, в которых рукопожатие маршрута Tor сильнее, чем доступные уровни TLS соединения.

• Подготовка клиентов к использованию защитников с меньшим количеством составляющих, благодаря специальным параметрам. Следующая статья предоставляет некоторую базовую информацию об этом:

  https://blog.torproject.org/blog/improving-tors-anonymity-changing-guard-parameters

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.2.4.23-1~deb7u1.

В тестируемом (jessie) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 0.2.4.23-1.

В экспериментальном выпуске эти проблемы были исправлены в версии 0.2.5.6-alpha-1.

Рекомендуется обновить пакеты tor.