[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:55842] [Translate] [SECURITY] [DSA 2363-1] tor security update



かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2363-1                   security@debian.org
http://www.debian.org/security/                        Moritz Muehlenhoff
December 16, 2011                      http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : tor
Vulnerability  : バッファオーバフロー
Problem type   : リモート
Debian-specific: いいえ
CVE ID         : CVE-2011-2778

オンラインプライバシツール tor に、欠陥が発見されました。SOCKS コネク
ションを用いた特定条件下で、tor がバッファサイズの計算を誤るため、悪
意を持ったパーティからヒープベースのバッファオーバフローを引き起こす
ことが可能で、任意のコードの実行を許す潜在的な可能性があります。

この問題は通常は Tor の socks ポートに接続可能なクライアントからのみ
攻撃可能ですが、Tor の標準の設定では同ポートに接続可能なのは
localhost のみです。

Tor が localhost 以外の SocksPort をリスンする設定、または Tor が外向
きの接続で他の socks サーバを用いる設定など、標準とは異なった設定を用
いている場合は、Tor はより広い範囲の悪意を持ったパーティから攻撃可能
となります。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は
バージョン 0.2.1.32-1 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバ
ージョン 0.2.2.35-1~squeeze+1 で修正されています。

不安定版 (unstable) とテスト版 (testing) ディストリビューションでは、
この問題はバージョン 0.2.2.35-1 で修正されています。

実験版ディストリビューションでは、この問題はバージョン
0.2.3.10-alpha-1 で修正されています。

直ぐに tor パッケージをアップグレードすることを勧めます。

今回安定版 (squeeze) の更新パッケージが、元の 0.2.1.31 から Tor の新
しいメジャーリリースの 0.2.2.35 に切り替わっていることに注意ください。
上流では、0.2.1.x 系の近日中の保守終了をアナウンスしています。アップ
グレード後、Tor が期待通りに動作しているかどうかチェックしてください。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------