2018-0422: Tor: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2018-03-05 15:54): Neues Advisory
Version 2 (2018-03-07 11:30): Für SUSE Package Hub for SUSE Linux Enterprise 12 steht ein Sicherheitsupdate bereit, mit dem Tor auf Version 0.3.2.10 aktualisiert wird.
Version 3 (2018-03-07 12:26): Für openSUSE Leap 42.3 steht ein Sicherheitsupdate bereit, mit dem Tor auf Version 0.3.2.10 aktualisiert wird.
Version 4 (2018-03-09 18:40): Für Fedora EPEL 6 steht ein Sicherheitsupdate in Form des Pakets 'tor-0.2.9.15-1.el6' zur Verfügung, das sich derzeit im Status 'testing' befindet.
Version 5 (2018-04-30 12:13): Für Debian Stretch 9.4 (stable) steht ein Sicherheitsupdate für Tor bereit, welches die Schwachstelle CVE-2018-0490 adressiert.

Betroffene Software

Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

In den Tor Versionen 0.2.9.14, 0.3.1.9 sowie 0.3.2.9 existieren zwei Schwachstellen, welche einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe ermöglichen.

Das Tor-Projekt stellt Tor in den stabilen Versionen 0.3.2.10, 0.3.1.10 und 0.2.9.15 zur Behebung der Schwachstellen zur Verfügung.

Für die Distributionen Fedora 26 und 27 sowie Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakete 'tor-0.3.1.10-1.fc26', 'tor-0.3.1.10-1.fc27' sowie 'tor-0.2.9.15-1.el7' zur Behebung der Schwachstellen zur Verfügung, die sich derzeit im Status 'testing' befinden.

Schwachstellen:

CVE-2018-0490

Schwachstelle in Tor ermöglicht Denial-of-Service-Angriff

CVE-2018-0491