Mandriva Linux 安全公告:tor (MDVSA-2014:123)
high Nessus 插件 ID 74481
语言:
简介
远程 Mandriva Linux 主机缺少安全更新。描述
更新后的 tor 程序包修复了多种漏洞:当 OpenSSL 1.x 与 Intel Sandy Bridge 和 Ivy Bridge 平台中的某些 HardwareAccel 设置配合使用时,低于 0.2.4.20 的 Tor 未正确生成中继身份密钥和隐藏服务身份密钥的随机数,这可使远程攻击者更容易通过不明矢量绕过加密保护机制 (CVE-2013-7295)。
更新到版本 0.2.4.22,解决了以下主要问题和安全问题:
- 阻断 OpenSSL 中易受“heartbleed”缺陷影响的授权使用的颁发机构签名密钥 (CVE-2014-0160)。
- 修复了在标记化步骤中微观描述符解析失败时可能引起的内存泄漏。
- 现在可根据统一标准自动生成中继加密套件列表,其中包含具有可接受长度和前向保密的所有 OpenSSL 加密套件。
- 中继现在认为其自身的判断力优于客户端,能够找出哪些 TLS 加密套件更好,哪些则较差。
- 客户端现在可尝试公布与 Firefox 28 相同的加密套件列表。
有关其他变更,请参阅上游变更日志
解决方案
更新受影响的 tor 程序包。另见
插件详情
严重性: High
ID: 74481
文件名: mandriva_MDVSA-2014-123.nasl
版本: 1.8
类型: local
发布时间: 2014/6/12
最近更新时间: 2022/5/5
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.9
CVSS v2
风险因素: High
基本分数: 9.4
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
漏洞信息
CPE: p-cpe:/a:mandriva:linux:tor, cpe:/o:mandriva:business_server:1
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2014/6/11
CISA 已知可遭利用的漏洞到期日期: 2022/5/25
可利用的方式
Core Impact
参考资料信息
CVE: CVE-2013-7295, CVE-2014-0160
MDVSA: 2014:123