Säkerhetsbulletin från Debian
DSA-3216-1 tor -- säkerhetsuppdatering
- Rapporterat den:
- 2015-04-06
- Berörda paket:
- tor
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-2928, CVE-2015-2929.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i Tor, ett anslutningsbaserat låg-latens anonymt kommunikationssystem:
- CVE-2015-2928
disgleirio
upptäckte att en illasinnad klient kunde trigga ett antagandefel i en Tor-instans och därmed tillhandahålla en gömd tjänst, och därmed få tjänsten oåtkomlig. - CVE-2015-2929
DonnchaC
upptäckte att Torklienter kom att krascha med ett antagandefel vid tolkning av speciellt skapade beskrivningar av gömda tjänster.
Introduktionspunkter accepterade flera INTRODUCE1-celler på en krets, vilket gör det enkelt för en angripare att överlasta en gömd tjänst med introduktioner. Introduktionspunkter tillåter nu inte längre flera celler av den typen på samma krets.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 0.2.4.27-1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 0.2.5.12-1.
For the experimental distribution har dessa problem rättats i version 0.2.6.7-1.
Vi rekommenderar att ni uppgraderar era tor-paket.
- CVE-2015-2928