Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3216-1 tor

Bulletin d'alerte Debian

DSA-3216-1 tor -- Mise à jour de sécurité

Date du rapport :

6 avril 2015

Paquets concernés :

tor

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-2928, CVE-2015-2929.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Tor, un système de communication anonyme à faible latence, basé sur les connexions :

• CVE-2015-2928

  disgleirio a découvert qu'un client malveillant pourrait déclencher un échec d'assertion dans une instance de Tor fournissant un service caché, rendant ainsi le service inaccessible.

• CVE-2015-2929

  DonnchaC a découvert que les clients Tor pourrait planter avec un échec d'assertion en analysant des descripteurs de service caché contrefaits pour l'occasion .

Les points d'introduction accepteraient de multiples cellules INTRODUCE1 dans un circuit, rendant peu coûteux pour un attaquant la surcharge d'un service caché avec des introductions. Les points d'introduction ne permettent plus maintenant de multiples cellules de ce type dans le même circuit.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 0.2.4.27-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.2.5.12-1.

Pour la distribution experimental, ces problèmes ont été corrigés dans la version 0.2.6.7-1.

Nous vous recommandons de mettre à jour vos paquets tor.