• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3203-1 tor -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3203-1 tor -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
tor (any)
Описание
В Tor, анонимной системе взаимодействия на основе соединений с
низкой задержкой, были обнаружены несколько отказов в обслуживании.

Jowr обнаружил, что очень высокая нагрузка по DNS запросам на активный узел сети может
    приводить к ошибке утверждений.
Активный узел сети может аварийно завершить свою работу с ошибкой утверждений в случае, если буфер с
    некорректной разметкой будет передан функции buf_pullup() в некорректное
    время.

В стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 0.2.4.26-1.
В тестируемом (jessie) и нестабильном (sid)
выпусках эти проблемы были исправлены в версии 0.2.5.11-1.
Более того, данное обновление отключает поддержку SSLv3 в Tor. Все
используемые вместе с Tor версии OpenSSL поддерживают TLS 1.0 или более поздние версии.
Кроме того, данный выпуск содержит обновление базы данных geoIP, используемой Tor,
а также списка авторитетных серверов, используемых клиентами Tor для
запуска, а также для подписи документов каталога Tor.
Рекомендуется обновить пакеты tor.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
tor - 0.2.4.26-1