DFN-CERT-2014-1402 Tor: Mehrere Schwachstellen ermöglichen Denial-of-Service und Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2014-1402 Tor: Mehrere Schwachstellen ermöglichen Denial-of-Service und Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Tor Project <= 0.2.4.19 Betroffene Plattformen: Extra Packages for Red Hat Enterprise Linux 5 Durch Ausnutzen der Schwachstellen kann ein entfernter, nicht authentifizierter Angreifer entweder Denial-of-Service-Angriffe durchführen oder Sicherheitsvorkehrungen umgehen. Fedora stellt ein aktualisiertes Paket von Tor 0.2.4.25 für Extra Packages for Red Hat Enterprise Linux 5 bereit, wodurch diese Schwachstellen behoben werden. Patch: Fedora Security Update FEDORA-EPEL-2014-3570 https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3570/tor-0.2.4.25-1.el5

CVE-2012-2250: Schwachstelle in Tor erlaubt Denial-of-Service

Eine Schwachstelle existiert in Tor bevor 0.2.3.24-rc. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle ausnutzen, indem er die
Vereinbarung des Link-Protokolls absichtlich falsch durchführt, um einen
Denial-of-Service-Angriff (“assertion failure” und “daemon exit”)
durchzuführen.

CVE-2012-2249: Schwachstelle in Tor erlaubt Denial-of-Service

Eine Schwachstelle existiert in Tor bevor 0.2.3.23-rc. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle ausnutzen, durch einen
erneuten Vereinbarungsversuch (“renogotiation attempt”) nach der Initiierung
des V3-Link-Protokolls, um einen Denial-of-Service (“assertion failure” und
“daemon exit”) herbeizuführen.

CVE-2013-7295: Schwache Zufallszahlen im Zusammenhang mit
Hardware-Beschleunigern

Eine Schwachstelle existiert in Tor bevor 0.2.4.20. Wenn OpenSSL 1.x mit
Hardware-Beschleunigern (in torrc wurde “HardwareAccel 1” eingestellt) auf
Intel-Systemen (Sandy Bridge und Ivy Bridge) ohne existierendes
DataDirectory (z.B. bei initialem Aufruf) eingesetzt wird, werden die für
Relay-Identities bzw. Hidden-Services benötigten Schlüssel mit schwachen
Zufallszahlen generiert. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, über nicht näher spezifizierte
Angriffswege, um den Sicherheitsmechanismus Verschlüsselung zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1402/

Schwachstelle CVE-2013-7295 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7295

Fedora Security Update FEDORA-EPEL-2014-3570:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3570/tor-0.2.4.25-1.el5

Schwachstelle CVE-2012-2249 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2249

Schwachstelle CVE-2012-2250 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2250

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben