openSUSE 安全性更新:tor (openSUSE-SU-2014:0975-1)
medium Nessus Plugin ID 77136
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
- Tor 0.2.4.23 [bnc#889688] [CVE-2014-5117] 降低防護循環的風險,並從 Tor 0.2.5 alpha 版本系列反向移植數項重要修正。- 主要功能:
- 用戶端現可查看「usecreatefast」共識參數,以決定是否在迴路的第一個躍點使用 CREATE_FAST 或 CREATE 儲存格。此方式對於 Tor 迴路交握強於可用之 TLS 連線安全性層級的情況,可有效改善連線的安全性,但缺點是防護轉送時需要更多運算負載。
- 可透過新的 NumEntryGuards 共識參數設定項目防護數目;透過新的 NumDirectoryGuards 共識參數設定目錄防護數目。
- 主要錯誤修正:
- 修正 32 位元 curve25519-donna 實作的邊界檢查中的一個錯誤,若伴隨小類型 ntor 私密金鑰,使用特定格式錯誤的輸入,可導致 32 位元實作產生不正確的結果。
- 次要錯誤修正:
- 收到傳入「提早轉送」儲存格時,發出警告並中斷迴路。
- 更正嘗試透過控制通訊協定延伸迴路時,所顯示的一則令人混淆的錯誤訊息,但我們並不知道任一指定轉送的描述符號或 microdescriptor。
- 避免在以不具 v2 連結交握所用之所有密碼的 OpenSSL 版本,初始化 TLS 模組時,導致從堆疊非法讀取的情況。
解決方案
更新受影響的 tor 套件。另請參閱
https://bugzilla.novell.com/show_bug.cgi?id=889688
https://lists.opensuse.org/opensuse-updates/2014-08/msg00006.html
Plugin 詳細資訊
嚴重性: Medium
ID: 77136
檔案名稱: openSUSE-2014-492.nasl
版本: 1.4
類型: local
代理程式: unix
已發布: 2014/8/12
已更新: 2021/1/19
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.2
CVSS v2
風險因素: Medium
基本分數: 5.8
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
弱點資訊
CPE: p-cpe:/a:novell:opensuse:tor, p-cpe:/a:novell:opensuse:tor-debuginfo, p-cpe:/a:novell:opensuse:tor-debugsource, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
修補程式發佈日期: 2014/7/31
參考資訊
CVE: CVE-2014-5117