Рекомендация Debian по безопасности
DSA-2993-1 tor -- обновление безопасности
- Дата сообщения:
- 31.07.2014
- Затронутые пакеты:
- tor
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-5117.
- Более подробная информация:
-
В Tor, анонимной системе передачи данных с низкой задержкой, были обнаружены несколько проблем, приводящих к утечкам информации.
Сообщения ретрансляторов раннего выхода могут использоваться для совместной тайной отметки ретрансляторами сети пользовательских маршрутов и, следовательно, осуществления атак по принципу подтверждения трафика [CVE-2014-5117]. Загруженная версия программы выводит предупреждение и сбрасывает данные маршрута при получении входящих сообщений ретрансляторов раннего выхода, что помогает предотвратить этот конкретный вид атак. За дополнительной информацией по этой проблеме обратитесь к следующей рекомендации:
https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack
Ошибка в проверке границ массива в 32-х битной реализации curve25519-donna может приводить к некорректным результатам на 32-х битны реализациях при использовании некоторых некорректных вводных данных вместе с небольшим классом закрытых ключей ntor. Данная уязвимость в настоящее время не позволяет злоумышленнику определить закрытые ключи, либо определить сервер Tor, но она позволяет отличить 32-х битную реализацию Tor от 64-х битной реализации.
Также были реализованы следующие дополнительные улучшения, связанные с безпасностью:
Клиент новой версии эффективно останавливается при использовании сообщений CREATE_FAST. Хотя это и увеличивает вычислительную нагрузку на сеть, этот подход может улучшить безопасность соединений, в которых рукопожатие маршрута Tor сильнее, чем доступные уровни TLS соединения.
Подготовка клиентов к использованию защитников с меньшим количеством составляющих, благодаря специальным параметрам. Следующая статья предоставляет некоторую базовую информацию об этом:
https://blog.torproject.org/blog/improving-tors-anonymity-changing-guard-parameters
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.2.4.23-1~deb7u1.
В тестируемом (jessie) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 0.2.4.23-1.
В экспериментальном выпуске эти проблемы были исправлены в версии 0.2.5.6-alpha-1.
Рекомендуется обновить пакеты tor.