Информация по безопасности / 2015 / Информация о безопасности -- DSA-3216-1 tor

Рекомендация Debian по безопасности

DSA-3216-1 tor -- обновление безопасности

Дата сообщения:

06.04.2015

Затронутые пакеты:

tor

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-2928, CVE-2015-2929.

Более подробная информация:

В Tor, анонимной системе взаимодействия на основе соединений с низкой задержкой, были обнаружены несколько уязвимостей:

• CVE-2015-2928

  disgleirio обнаружил, что некорректные клиенты могут вызвать ошибку утверждения в экземпляре Tor, предоставляющем скрытую службу, что приводит к тому, что система оказывается недоступной.

• CVE-2015-2929

  DonnchaC обнаружил, что клиенты Tor могут аварийно завершить работу с ошибкой утверждения при грамматическом разборе специально сформированных дескрипторов скрытой службы.

Точки входа могут принять многочисленные ячейки INTRODUCE1 на одной петле, что облегчает злоумышленнику перегрузить скрытую службу входами. Точки входа более не позволяют использование многочисленных ячеек такого типа на одной и той же петле.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.2.4.27-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 0.2.5.12-1.

В экспериментальном выпуске эти проблемы были исправлены в версии 0.2.6.7-1.

Рекомендуется обновить пакеты tor.