Debian DLA-178-1：tor 安全性更新

high Nessus Plugin ID 82163

語系：

概要

遠端 Debian 主機缺少一個安全性更新。

說明

在 Tor (連線型低延遲匿名通訊系統) 中發現數個弱點並已修正。

o Jowr 發現，若轉送時的 DNS 查詢負載非常高，可能會觸發宣告錯誤。

o 如果剛好在錯誤的時間將錯誤配置的緩衝區傳遞至 buf_pullup()，轉送可能會損毀並顯示宣告錯誤。

o 傳送所選 rendezvous 點的位址給隱藏服務時，用戶端會向其洩漏所在位置是位元組由小到大還是位元組由大到小的系統。

此外，此更新還停用了 Tor 中的 SSLv3 支援。配合使用 Tor 的所有 OpenSSL 版本目前皆支援 TLS 1.0 或更新版本。

此外，此版本也會更新 Tor 使用的 geoIP 資料庫，以及目錄授權單位伺服器清單 (該清單是 Tor 用戶端用來啟動程序，並且信任而簽署 Tor 目錄共識文件的依據)。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

解決方案

升級受影響的 tor、tor-dbg 和 tor-geoipdb 套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2015/03/msg00015.html

https://packages.debian.org/source/squeeze-lts/tor

Plugin 詳細資訊

嚴重性: High

ID: 82163

檔案名稱: debian_DLA-178.nasl

版本: 1.4

類型: local

代理程式: unix

系列: Debian Local Security Checks

已發布: 2015/3/26

已更新: 2021/1/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:tor, p-cpe:/a:debian:debian_linux:tor-dbg, p-cpe:/a:debian:debian_linux:tor-geoipdb, cpe:/o:debian:debian_linux:6.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

修補程式發佈日期: 2015/3/22