2017-2183: Tor: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen und Denial-of-Service-Angriffe

Historie:

Version 1 (2017-12-04 16:21): Neues Advisory
Version 2 (2017-12-22 10:35): Für Fedora EPEL 6 steht ein Sicherheitsupdate in Form des Paketes 'tor-0.2.9.14-1.el6' im Status 'testing' zur Behebung der Schwachstellen zur Verfügung. Die Version 0.2.9.14 ist die aktuelle Version der Software.
Version 3 (2018-01-09 19:16): Das Tor-Projekt hat die neue stabile Tor Version 0.3.2.9 veröffentlicht, durch welche diese Schwachstellen ebenfalls behoben werden.

Betroffene Software

Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Tor ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung von Denial-of-Service (DoS)-Angriffen und das Ausspähen von Informationen. Der Hersteller bewertet die Kritikalität von zwei der aufgeführten Schwachstellen mit 'high'.

Das Tor-Projekt stellt Tor in den stabilen Versionen 0.3.1.9, 0.3.0.13, 0.2.9.14, 0.2.8.17 und 0.2.5.16 zur Behebung der Schwachstellen zur Verfügung.

Für die Distributionen Fedora 26 und 27 sowie Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakte 'tor-0.3.1.9-1.fc26', 'tor-0.3.1.9-1.fc27' bzw. 'tor-0.2.9.14-1.el7'' zur Behebung der Schwachstellen zur Verfügung, die sich derzeit im Status 'pending' befinden.

Debian veröffentlicht für die Distributionen Debian 8.9 (Jessie) und Debian 9.2 (Stretch) Sicherheitsupdates für Tor.

Weiterhin stehen für SUSE Package Hub for SUSE Linux Enterprise 12 sowie openSUSE Leap 42.2 und 42.3 Sicherheitsupdates für das Paket 'tor' bereit.

Schwachstellen:

CVE-2017-8819

Schwachstelle in Tor ermöglicht Ausspähen von Informationen

CVE-2017-8820

Schwachstelle in Tor ermöglicht Denial-of-Service-Angriff

CVE-2017-8821

Schwachstelle in Tor ermöglicht Denial-of-Service-Angriff

CVE-2017-8822