Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Tor < 0.2.8.12 Tor < 0.2.9.8 Betroffene Plattformen: macOS Sierra GNU/Linux Microsoft Windows Ein entfernter, nicht authentifizierter Angreifer kann einen versteckten Dienst so präparieren, dass der Besuch des Dienstes mit einem gehärteten Tor-Klienten (hardened) denselben zum Absturz bringt. Nicht gehärtete Klienten sind nur in Abhängigkeit der Speicherverwaltung des unterliegenden Betriebssystems verwundbar. Das Tor Projekt stellt die Versionen 0.2.8.12 und 0.2.9.8 als stabile Versionen zur Behebung der Schwachstelle bereit. Patch: Tor 0.2.8.12 Release Notes https://blog.torproject.org/blog/tor-02812-released

Patch:

Tor 0.2.9.8 Release Notes

https://blog.torproject.org/blog/tor-0298-released-finally-new-stable-series

CVE-2016-1254: Schwachstelle in Tor ermöglicht Denial-of-Service-Angriff

Durch eine Schwachstelle in Tor kann es bei der Verarbeitung von
Informationen, die von versteckten Diensten (hidden Services) zur Verfügung
gestellt werden, zum Lesezugriff auf ein Byte außerhalb des zugewiesenen
Speicherbereichs kommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-2097/

Tor 0.2.8.12 Release Notes:
https://blog.torproject.org/blog/tor-02812-released

Tor 0.2.9.8 Release Notes:
https://blog.torproject.org/blog/tor-0298-released-finally-new-stable-series

Schwachstelle CVE-2016-1254 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1254

TROVE-2016-12-002:
https://trac.torproject.org/projects/tor/ticket/21018

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.