Mandriva Linux セキュリティアドバイザリ:tor(MDVSA-2014:123)
high Nessus プラグイン ID 74481
Language:
概要
リモート Mandriva Linux ホストにセキュリティ更新がありません。説明
更新済みの tor パッケージにより、以下の複数の脆弱性が修正されます:0.2.4.20 より前の Tor は、OpenSSL 1.x が、Intel Sandy Bridge および Ivy Bridge プラットフォームの特定の HardwareAccel 設定とともに使用されるとき、リレー識別キーおよび非表示サービス識別キーのための乱数を適切に生成しないために、リモートの攻撃者が詳細不明なベクトルを介して、暗号保護メカニズムを容易にバイパスする可能性があります(CVE-2013-7295)。
バージョン 0.2.4.22 への更新で、これらの重要なセキュリティ問題が解決されます:
- 認証のために使用されるブロック認証署名キーは、OpenSSL のハートブリードバグに脆弱です(CVE-2014-0160)。
- メモリリークを修正します。この問題により、トークン化ステップ中にマイクロスクリプターの解析が失敗する可能性があります。
- 現在、リレー暗号スイートリストは、統一されている基準に沿って自動的に生成され、許容可能な強度と前方秘匿性のあるすべての OpenSSL 暗号スイートを含んでいます。
- リレーはそれ自体を信頼し、 TLS 暗号スイートが他よりも優れるクライアントよりも高度なビューを提供します。
- クライアントは、Firefox 28 と同じ暗号スイートのリストをアドバタイズしようとします。
他の変更については、Upstream 変更ログを参照してください
ソリューション
影響を受ける tor パッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 74481
ファイル名: mandriva_MDVSA-2014-123.nasl
バージョン: 1.8
タイプ: local
公開日: 2014/6/12
更新日: 2022/5/5
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.9
CVSS v2
リスクファクター: High
基本値: 9.4
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
脆弱性情報
CPE: p-cpe:/a:mandriva:linux:tor, cpe:/o:mandriva:business_server:1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2014/6/11
CISA の既知の悪用された脆弱性の期限日: 2022/5/25
エクスプロイト可能
Core Impact
参照情報
CVE: CVE-2013-7295, CVE-2014-0160
MDVSA: 2014:123