UPDATE: DFN-CERT-2015-0498 Tor: Mehrere Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][Fedora]

UPDATE: DFN-CERT-2015-0498 Tor: Mehrere Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (12.04.2015):
Für Fedora EPEL 6 und EPEL 7 stehen Sicherheitsupdates auf die Version
0.2.5.12 im Status ‘testing’ zur Verfügung.
Version 1 (09.04.2015):
Neues Advisory

Betroffene Software:

Tor Project < 0.2.5.12 Betroffene Plattformen: Red Hat Fedora 22 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Mehrere Schwachstellen erlauben einem entfernten, nicht authentisierten Angreifer Denial-of-Service-Angriffe. Für Fedora 22 steht ein Sicherheitsupdate auf die Tor Version 0.2.5.12 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2015-5890 https://admin.fedoraproject.org/updates/FEDORA-2015-5890/tor-0.2.5.12-1.fc22

Patch:

Fedora Security Update FEDORA-EPEL-2015-5756

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-5756/tor-0.2.5.12-1.el7

Patch:

Fedora Security Update FEDORA-EPEL-2015-5759

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-5759/tor-0.2.5.12-1.el6

CVE-2015-2929: Schwachstelle in Tor ermöglicht Denial-of-Service-Angriff

Ein Tor-Client kann durch das Erreichen einer Abbruchbedingung (Assertion)
abstürzen, wenn der Parser einen missgestalteten Hidden Service Deskriptor
verarbeitet. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um einen Denial-of-Service-Zustand herbeizuführen.

CVE-2015-2928: Schwachstelle in Tor ermöglicht Denial-of-Service-Angriff

Eine Tor-Instanz, die einen Hidden Service anbietet, kann durch das Auslösen
einer Abbruchbedingung (Assertion) zum Absturz gebracht werden, so dass der
Dienst nicht mehr verfügbar ist. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service-Zustand herbeizuführen.

CVE-2015-2689: Schwachstelle in Tor erlaubt Denial-of-Service

Eine nicht näher beschriebene Schwachstelle in Tor führt zu einem
Exit-Node-Absturz aufgrund einer Abbruchbedingung (“assertion”) unter hoher
DNS-Last. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, um einen Denial-of-Service-Zustand herbeizuführen.

CVE-2015-2688: Schwachstelle in Tor erlaubt Denial-of-Service

Eine nicht näher beschriebene Schwachstelle in Tor führt zu einem
Relay-Absturz aufgrund einer Abbruchbedingung (“assertion”). Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service-Zustand herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0498/

Schwachstelle CVE-2015-2688 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2688

Schwachstelle CVE-2015-2689 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2689

Schwachstelle CVE-2015-2928 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2928

Schwachstelle CVE-2015-2929 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2929

Fedora Security Update FEDORA-2015-5890:
https://admin.fedoraproject.org/updates/FEDORA-2015-5890/tor-0.2.5.12-1.fc22

Fedora Security Update FEDORA-EPEL-2015-5756:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-5756/tor-0.2.5.12-1.el7

Fedora Security Update FEDORA-EPEL-2015-5759:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-5759/tor-0.2.5.12-1.el6

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben