2011年12月17日

[debian-users:55842] [Translate] [SECURITY] [DSA 2363-1] tor security update

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2363-1 security@xxxxx
http://www.debian.org/security/ Moritz Muehlenhoff

December 16, 2011 http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package : tor
Vulnerability : バッファオーバフロー
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2011-2778

オンラインプライバシツール tor に、欠陥が発見されました。SOCKS コネク
ションを用いた特定条件下で、tor がバッファサイズの計算を誤るため、悪
意を持ったパーティからヒープベースのバッファオーバフローを引き起こす
ことが可能で、任意のコードの実行を許す潜在的な可能性があります。

この問題は通常は Tor の socks ポートに接続可能なクライアントからのみ
攻撃可能ですが、Tor の標準の設定では同ポートに接続可能なのは
localhost のみです。

Tor が localhost 以外の SocksPort をリスンする設定、または Tor が外向
きの接続で他の socks サーバを用いる設定など、標準とは異なった設定を用
いている場合は、Tor はより広い範囲の悪意を持ったパーティから攻撃可能
となります。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は
バージョン 0.2.1.32-1 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバ
ージョン 0.2.2.35-1~squeeze+1 で修正されています。

不安定版 (unstable) とテスト版 (testing) ディストリビューションでは、
この問題はバージョン 0.2.2.35-1 で修正されています。

実験版ディストリビューションでは、この問題はバージョン
0.2.3.10-alpha-1 で修正されています。

直ぐに tor パッケージをアップグレードすることを勧めます。

今回安定版 (squeeze) の更新パッケージが、元の 0.2.1.31 から Tor の新
しいメジャーリリースの 0.2.2.35 に切り替わっていることに注意ください。
上流では、0.2.1.x 系の近日中の保守終了をアナウンスしています。アップ
グレード後、Tor が期待通りに動作しているかどうかチェックしてください。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@xxxxx
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2011年12月17日 11:10
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/107618
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。