検出

openSUSE セキュリティ更新:tor(openSUSE-SU-2014:0975-1)

medium Nessus プラグイン ID 77136

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

- Tor 0.2.4.23 [bnc#889688] [CVE-2014-5117] ガードローテーションからのリスクを低減させて、Tor 0.2.5 alpha リリースシリーズからいくつかの重要な修正をバックポートします。

- 重要な機能:

- クライアントは現在、CREATE_FAST または CREATE セルのどちらかをサーキットの最初のホップに使用するかを決めるために、「usecreatefast」コンセンサスパラメーターを参照するようになりました。このアプローチは、接続のセキュリティを改善することができます。その場合、Tor のサーキットハンドシェイクは、利用できる TLS 接続のセキュリティレベルより強いながらも、トレードオフとしてガードリレーの計算負荷がより高まることになります。

- 新しい NumEntryGuards コンセンサスパラメーターから多数のエントリガードを構成可能にし、新しい NumDirectoryGuards コンセンサスパラメーターから多数のディレクトリガードを構成可能にします。

- 主要なバグ修正:

- 32 ビットの curve25519-donna 実装における境界チェックのバグを修正します。このバグは、特定の無効な形式の入力が小さなクラスの ntor 秘密鍵とともに使用された場合に、32 ビット実装に不適切な結果をもたらしていました。

- マイナーバグ修正:

- 着信「relay early」セルを受信する場合は、サーキットを警告してドロップします。

- コントロールプロトコルからサーキット拡張を試行する際の誤解を招くエラーメッセージを修正します。ただし、指定されたリレーのひとつの記述子または microdescriptor については把握していません。

- v2 リンクハンドシェイクによって使用されるすべての暗号を一切なしで OpenSSL のバージョンを使用する TLS モジュールを初期化する際に、スタックからの不正な読み取りを回避します。

ソリューション

影響を受ける tor パッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=889688

https://lists.opensuse.org/opensuse-updates/2014-08/msg00006.html

プラグインの詳細

深刻度: Medium

ID: 77136

ファイル名: openSUSE-2014-492.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2014/8/12

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: Medium

基本値: 5.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:tor, p-cpe:/a:novell:opensuse:tor-debuginfo, p-cpe:/a:novell:opensuse:tor-debugsource, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2014/7/31

参照情報

CVE: CVE-2014-5117