UPDATE: DFN-CERT-2017-0998 Tor: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Debian][Apple][Windows]

UPDATE: DFN-CERT-2017-0998 Tor: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Debian][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (12.06.2017):
Für die stabile Distribution Debian Jessie steht ein Sicherheitsupdate auf
Tor 0.2.5.14 zur Behebung der Schwachstelle CVE-2017-0376 bereit. Für die
nächste stabile Distribution Debian Stretch ist ein Sicherheitsupdate auf
Tor 0.2.9.11 angekündigt.
Version 1 (09.06.2017):
Neues Advisory

Betroffene Software:

Tor < 0.2.4.29 Tor < 0.2.5.14 Tor < 0.2.6.12 Tor < 0.2.7.8 Tor < 0.2.8.14 Tor < 0.2.9.11 Tor < 0.3.0.8 Betroffene Plattformen: Apple Mac OS X macOS Sierra Debian Linux 8.8 Jessie GNU/Linux Microsoft Windows Zwei Schwachstellen in Tor ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen auf Hidden Services oder Hidden Service Rendezvous Circuits. Das Tor-Projekt stellt Tor 0.3.0.8 zur Behebung der Schwachstellen zur Verfügung. Die Schwachstelle CVE-2017-0376 wird auch in Tor 0.2.9.11, 0.2.8.14, 0.2.7.8, 0.2.6.12, 0.2.5.14 und 0.2.4.29 behoben. Die Schwachstelle CVE-2017-0375 betrifft Tor erst ab Version 0.3.0. Patch: Tor 0.2.4.29, 0.2.5.14, 0.2.6.12, 0.2.7.8, 0.2.8.14, 0.2.9.11, 0.3.0.8 Release Notes https://blog.torproject.org/blog/tor-0308-released-fix-hidden-services-also-are-02429-02514-02612-0278-02814-and-02911

Patch:

Debian Security Update DSA-3877-1

https://www.debian.org/security/2017/dsa-3877

CVE-2017-0376: Schwachstelle in Tor ermöglicht Denial-of-Service-Angriff

Über eine ‘BEGIN_DIR Cell’ kann ein Zusicherungsfehler (Assertion Failure)
in einem Hidden Service Rendezvous Circuit ausgelöst werden. Ein entfernter,
nicht authentisierter Angreifer kann dadurch einen Denial-of-Service-Angriff
auf bestehende Verbindungen von Tor-Benutzern zum Tor-Netzwerk durchführen.

CVE-2017-0375: Schwachstelle in Tor ermöglicht Denial-of-Service-Angriff

Über eine falsch formatierte ‘BEGIN Cell’ kann ein Zusicherungsfehler
(Assertion Failure) in einem Hidden Service ausgelöst werden. Ein
entfernter, nicht authentisierter Angreifer kann dadurch einen
Denial-of-Service-Angriff auf diesen Hidden Service durchführen, wodurch
Tor-Benutzern der Zugang zum Tor-Netzwerk verweigert oder möglicherweise die
Position von Tor-Benutzern, die diesen Service verwenden, offen gelegt
werden kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0998/

Tor 0.2.4.29, 0.2.5.14, 0.2.6.12, 0.2.7.8, 0.2.8.14, 0.2.9.11, 0.3.0.8 Release
Notes:
https://blog.torproject.org/blog/tor-0308-released-fix-hidden-services-also-are-02429-02514-02612-0278-02814-and-02911

Schwachstelle CVE-2017-0375 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0375

Schwachstelle CVE-2017-0376 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0376

Debian Security Update DSA-3877-1:
https://www.debian.org/security/2017/dsa-3877

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben