Debian DLA-178-1：tor 安全更新

high Nessus 插件 ID 82163

语言：

简介

远程 Debian 主机缺少安全更新。

描述

在基于连接的低延迟匿名通信系统 Tor 中发现并修复了多个问题。

o Jowr 发现中继承受极高的 DNS 查询负载可能触发断言错误。

o 如果刚好在错误的时间将错误布局的缓冲区传递到 buf_pullup()，中继可能因断言错误而崩溃。

o 将选中的 rendezvous 点的地址发送到隐藏服务时，客户端会向该隐藏服务泄漏其位于小端系统还是大端系统上。

此外，此更新还禁用了对 Tor 中的 SSLv3 的支持。与 Tor 配合使用的所有 OpenSSL 版本现在均支持 TLS 1.0 或更高版本。

此外，此版本还更新了 Tor 使用的 geoIP 数据库，以及目录颁发机构服务器列表（Tor 客户端用于启动并信任签署 Tor 目录同意文档）。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

升级受影响的 tor、tor-dbg 和 tor-geoipdb 程序包。

另见

https://lists.debian.org/debian-lts-announce/2015/03/msg00015.html

https://packages.debian.org/source/squeeze-lts/tor

插件详情

严重性: High

ID: 82163

文件名: debian_DLA-178.nasl

版本: 1.4

类型: local

代理: unix

系列: Debian Local Security Checks

发布时间: 2015/3/26

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:tor, p-cpe:/a:debian:debian_linux:tor-dbg, p-cpe:/a:debian:debian_linux:tor-geoipdb, cpe:/o:debian:debian_linux:6.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

补丁发布日期: 2015/3/22