Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3203-1 tor

Säkerhetsbulletin från Debian

DSA-3203-1 tor -- säkerhetsuppdatering

Rapporterat den:

2015-03-22

Berörda paket:

tor

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-2688, CVE-2015-2689.

Ytterligare information:

Flera överbelastningssårbarheter har upptäckts i Tor, en anslutningsbaserat anonymt kommunikationssystem med låg latens.

• Jowr upptäckte att väldigt hög last av DNS-förfrågningar på en relay kunde trigga ett antagandefel.

• En relay kunde krascha med ett antagandefel om en buffer med exakt fel layout skickades till buf_pullup() vid precis fel tillfälle.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 0.2.4.26-1.

För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid), har dessa problem rättats i version 0.2.5.11-1.

Utöver detta inaktiverar denna uppdatering stöd för SSLv3 i Tor. Alla versioner av OpenSSL som används med Tor idag stöder TLS 1.0 eller senare.

Utöver detta uppdaterar denna utgåva geoIP-databasen som används av Tor så väl som listan på directory auktoritetsservrar, som Tor-klienter använder för att bootstrappa och som signerar Tor-mappskonsensusdokumentet.

Vi rekommenderar att ni uppgraderar era tor-paket.