—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-1676 – Heap-Overflow Schwachstelle in Tor
Eine nicht weiter beschriebene Heap-Overflow Schwachstelle in Tor, in
den Versionen vor 0.2.1.28, bei der Verarbeitung von Eingabedaten aus
dem Netzwerk ermoeglicht entfernten Angreifern, mittels praeparierter
Netzwerkpakete, die Anwendung zum Absturz zu bringen
(Denial-of-Service). Unter Umstaenden ermoeglicht die Schwachstelle auch
das Ausfuehren von beliebigem Code mit den Rechten der Anwendung.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket tor
Stable Distribution (lenny)
Testing Distribution (squeeze)
Unstable Distribution (sid)
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Tilmann Haak
– —
Dipl.-Inform. Tilmann Haak (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
– – ————————————————————————
Debian Security Advisory DSA-2136-1 security@debian.org
http://www.debian.org/security/ Raphael Geissert
December 21, 2010 http://www.debian.org/security/faq
– – ————————————————————————
Package : tor
Vulnerability : buffer overflow
Problem type : remote
Debian-specific: no
CVE Id : CVE-2010-1676
Willem Pinckaers discovered that Tor, a tool to enable online anonymity,
does not correctly handle all data read from the network. By supplying
specially crafted packets a remote attacker can cause Tor to overflow its
heap, crashing the process. Arbitrary code execution has not been
confirmed but there is a potential risk.
In the stable distribution (lenny), this update also includes an update of
the IP address for the Tor directory authority gabelmoo and addresses
a weakness in the package’s postinst maintainer script.
For the stable distribution (lenny) this problem has been fixed in
version 0.2.1.26-1~lenny+4.
For the testing distribution (squeeze) and the unstable distribution (sid),
this problem has been fixed in version 0.2.1.26-6.
We recommend that you upgrade your tor packages.
Upgrade instructions
– – ——————–
If you are using the apt-get package manager, use the line for
sources.list as given below:
apt-get update
will update the internal database
apt-get upgrade
will install corrected packages
You may use an automated update by adding the resources from the
footer to the proper configuration.
– – ———————————————————————————
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show
