Debian DSA-2548-1 : tor - 數個弱點
medium Nessus Plugin ID 62086
語系:
概要
遠端 Debian 主機缺少安全性更新。說明
在線上隱私權工具 Tor 中發現數個弱點。- CVE-2012-3518 讀取類別名稱無法識別的投票或共識文件時,避免讀取未初始化的記憶體。這可導致遠端當機,進而導致拒絕服務。
- CVE-2012-3519 嘗試洩漏較少用戶端為側通道攻擊者選擇的轉送之相關資訊。
- CVE-2012-4419 藉由向受害者 tor 執行個體提供特製的日期字串,攻擊者可造成其進入宣告並關閉。
此外,穩定版的更新還包含下列修正:等待用戶端重新交涉時,不允許其新增任何位元組至輸入緩衝區。這可修正潛在的 DoS 問題 [tor-5934、tor-6007]。
解決方案
升級 tor 套件。針對穩定的發行版本 (squeeze),這些問題已在版本 0.2.2.39-1 中獲得修正。
另請參閱
https://security-tracker.debian.org/tracker/CVE-2012-3518
https://security-tracker.debian.org/tracker/CVE-2012-3519
https://security-tracker.debian.org/tracker/CVE-2012-4419
https://trac.torproject.org/projects/tor/ticket/5934
https://trac.torproject.org/projects/tor/ticket/6007
Plugin 詳細資訊
嚴重性: Medium
ID: 62086
檔案名稱: debian_DSA-2548.nasl
版本: 1.10
類型: local
代理程式: unix
已發布: 2012/9/14
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:tor, cpe:/o:debian:debian_linux:6.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
修補程式發佈日期: 2012/9/13
參考資訊
CVE: CVE-2012-3518, CVE-2012-3519, CVE-2012-4419
DSA: 2548