Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (06.04.2015):
Für die Distribution Fedora 22 steht ein Sicherheitsupdate auf die Tor
Version 0.2.5.11 im Status ‘testing’ zur Verfügung.
Version 3 (01.04.2015):
Für Fedora EPEL 7 steht ein Sicherheitsupdate auf die Tor Version 0.2.5.11
im Status ‘testing’ bereit.
Version 2 (26.03.2015):
Für Debian 7.8 (Wheezy) und Debian 8.0 (Jessie) stehen Sicherheitsupdates
bereit.
Version 1 (25.03.2015):
Neues Advisory

Betroffene Software:

Tor Project < 0.2.4.26 Betroffene Plattformen: Debian Linux 7.8 Wheezy Debian Linux 8.0 Jessie openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 22 Extra Packages for Red Hat Enterprise Linux 7 Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht authentisierter Angreifer einen Denial-of-Service (DoS)-Angriff durchführen. Für openSUSE 13.1 und 13.2 wird Tor auf Version 0.2.4.26 aktualisiert, um diese Schwachstellen zu beheben. Patch: openSUSE Security Update openSUSE-SU-2015:0600-1 http://lists.opensuse.org/opensuse-updates/2015-03/msg00079.html

Patch:

Debian Security Advisory DSA-3203-1

https://www.debian.org/security/2015/dsa-3203

Patch:

Fedora Security Update FEDORA-EPEL-2015-1476

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1476/tor-0.2.5.11-1.el7

Patch:

Fedora Security Update FEDORA-2015-5505

https://admin.fedoraproject.org/updates/FEDORA-2015-5505/tor-0.2.5.11-1.fc22

CVE-2015-2689: Schwachstelle in Tor erlaubt Denial-of-Service

Eine nicht näher beschriebene Schwachstelle in Tor führt zu einem
Exit-Node-Absturz aufgrund einer Abbruchbedingung (“assertion”) unter hoher
DNS-Last. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, um einen Denial-of-Service-Zustand herbeizuführen.

CVE-2015-2688: Schwachstelle in Tor erlaubt Denial-of-Service

Eine nicht näher beschriebene Schwachstelle in Tor führt zu einem
Relay-Absturz aufgrund einer Abbruchbedingung (“assertion”). Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service-Zustand herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0409/

openSUSE Security Update openSUSE-SU-2015:0600-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00079.html

Schwachstelle CVE-2015-2688 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2688

Schwachstelle CVE-2015-2689 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2689

Debian Security Advisory DSA-3203-1:
https://www.debian.org/security/2015/dsa-3203

Fedora Security Update FEDORA-EPEL-2015-1476:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1476/tor-0.2.5.11-1.el7

Fedora Security Update FEDORA-2015-5505:
https://admin.fedoraproject.org/updates/FEDORA-2015-5505/tor-0.2.5.11-1.fc22

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (01.04.2015):
Für Fedora EPEL 7 steht ein Sicherheitsupdate auf die Tor Version 0.2.5.11
im Status ‘testing’ bereit.
Version 2 (26.03.2015):
Für Debian 7.8 (Wheezy) und Debian 8.0 (Jessie) stehen Sicherheitsupdates
bereit.
Version 1 (25.03.2015):
Neues Advisory

Betroffene Software:

Tor Project < 0.2.4.26 Betroffene Plattformen: Debian Linux 7.8 Wheezy Debian Linux 8.0 Jessie openSUSE 13.1 openSUSE 13.2 Extra Packages for Red Hat Enterprise Linux 7 Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht authentisierter Angreifer einen Denial-of-Service (DoS)-Angriff durchführen. Für openSUSE 13.1 und 13.2 wird Tor auf Version 0.2.4.26 aktualisiert, um diese Schwachstellen zu beheben. Patch: openSUSE Security Update openSUSE-SU-2015:0600-1 http://lists.opensuse.org/opensuse-updates/2015-03/msg00079.html

Patch:

Debian Security Advisory DSA-3203-1

https://www.debian.org/security/2015/dsa-3203

Patch:

Fedora Security Update FEDORA-EPEL-2015-1476

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1476/tor-0.2.5.11-1.el7

CVE-2015-2689: Schwachstelle in Tor erlaubt Denial-of-Service

Eine nicht näher beschriebene Schwachstelle in Tor führt zu einem
Exit-Node-Absturz aufgrund einer Abbruchbedingung (“assertion”) unter hoher
DNS-Last. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, um einen Denial-of-Service-Zustand herbeizuführen.

CVE-2015-2688: Schwachstelle in Tor erlaubt Denial-of-Service

Eine nicht näher beschriebene Schwachstelle in Tor führt zu einem
Relay-Absturz aufgrund einer Abbruchbedingung (“assertion”). Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service-Zustand herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0409/

openSUSE Security Update openSUSE-SU-2015:0600-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00079.html

Schwachstelle CVE-2015-2688 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2688

Schwachstelle CVE-2015-2689 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2689

Debian Security Advisory DSA-3203-1:
https://www.debian.org/security/2015/dsa-3203

Fedora Security Update FEDORA-EPEL-2015-1476:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1476/tor-0.2.5.11-1.el7

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.