Säkerhetsbulletin från Debian
DSA-2993-1 tor -- säkerhetsuppdatering
- Rapporterat den:
- 2014-07-31
- Berörda paket:
- tor
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-5117.
- Ytterligare information:
-
Flera problem har upptäckts i Tor, ett anslutningsbaserat low-latency anonymt kommunikationssystem, vilket resulterar i informationsläckage.
Relay-early-celler kunde användas av reläer i maskopi på nätverket för att tagga användarkretsar och på så vis utföra trafikkonfirmationsangrepp [CVE-2014-5117]. Den uppdaterade versionen ger en varning och släpper kretsen när den mottar ankommande relay-early-celler, vilket förhindrar denna typ av attack. Vänligen se följande bulletin för mer detaljer om detta problem:
https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack
Ett fel i gränskontrollerna i 32-bitars curve25519-donna-implementationen kunde orsaka felaktiga resultat på 32-bitarsimplementationer när vissa felaktigt formaterade indata användes tillsammans med en liten klass av privata ntor-nycklar. Denna brist verkar inte för närvarande tillåta en angripare att få åtkomst till privata nycklar eller att personifiera en Tor-server, men det kunde ge en möjlighet att identifiera 32-bitars Torimplementationer från 64-bitars Torimplementationer.
Följande ytterligare säkerhetsrelaterade förbättringar har implementerats:
Som klient kommer den nya versionen att effektivt sluta använda CREATE_FAST-celler. Medan detta lägger till beräkningsbelastning till nätverket kommer detta tillvägagångssätt kunna förbättra säkerheten på anslutningar där Tor's kretshandskakning är starkare än den tillgängliga säkerhetsnivån i TLS-anslutningar.
Förbered klienter att använda färre instegsvakter genom att hedra konsensusparametrarna. Följande artikel ger bakgrund:
https://blog.torproject.org/blog/improving-tors-anonymity-changing-guard-parameters
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 0.2.4.23-1~deb7u1.
För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid) har dessa problem rättats i version 0.2.4.23-1.
För den experimentella distributionen har dessa problem rättats i version 0.2.5.6-alpha-1.
Vi rekommenderar att ni uppgraderar era tor-paket.