[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:55842] [Translate] [SECURITY] [DSA 2363-1] tor security update
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2363-1 security@debian.org
http://www.debian.org/security/ Moritz Muehlenhoff
December 16, 2011 http://www.debian.org/security/faq
- -------------------------------------------------------------------------
Package : tor
Vulnerability : バッファオーバフロー
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2011-2778
オンラインプライバシツール tor に、欠陥が発見されました。SOCKS コネク
ションを用いた特定条件下で、tor がバッファサイズの計算を誤るため、悪
意を持ったパーティからヒープベースのバッファオーバフローを引き起こす
ことが可能で、任意のコードの実行を許す潜在的な可能性があります。
この問題は通常は Tor の socks ポートに接続可能なクライアントからのみ
攻撃可能ですが、Tor の標準の設定では同ポートに接続可能なのは
localhost のみです。
Tor が localhost 以外の SocksPort をリスンする設定、または Tor が外向
きの接続で他の socks サーバを用いる設定など、標準とは異なった設定を用
いている場合は、Tor はより広い範囲の悪意を持ったパーティから攻撃可能
となります。
旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は
バージョン 0.2.1.32-1 で修正されています。
安定版 (stable) ディストリビューション (squeeze) では、この問題はバ
ージョン 0.2.2.35-1~squeeze+1 で修正されています。
不安定版 (unstable) とテスト版 (testing) ディストリビューションでは、
この問題はバージョン 0.2.2.35-1 で修正されています。
実験版ディストリビューションでは、この問題はバージョン
0.2.3.10-alpha-1 で修正されています。
直ぐに tor パッケージをアップグレードすることを勧めます。
今回安定版 (squeeze) の更新パッケージが、元の 0.2.1.31 から Tor の新
しいメジャーリリースの 0.2.2.35 に切り替わっていることに注意ください。
上流では、0.2.1.x 系の近日中の保守終了をアナウンスしています。アップ
グレード後、Tor が期待通りに動作しているかどうかチェックしてください。
Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。
Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------