Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Tor Multiple Failles et Vulnérabilité

16/08/2007 21H19
Référence Secunia : SA26140 
Date de publication : 2007-07-24
Dernière mise à jour : 2007-07-31

Risque : Non Critique. Niveau 2 sur 5.
Impact : Contournement de la Sécurité, Exposition de données sensibles, DoS
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Tor 0.1.0.x
Tor 0.1.1.x
Tor 0.1.2.x

Référence CVE :
CVE-2007-4099



Description :
Quelques faiblesses et une vulnérabilité ont été identifiées dans Tor, qui pourrait être exploitée par des personnes malintentionnées pour passer outre certaines restrictions de sécurité, divulguer des informations sensibles, ou potentiellement causer un Déni de Service (DoS).

1) Une erreur dans l'interprétation de streamid's depuis different exits dans a circuit pourrait être exploitée par ex. par un serveur malicieux Tor dans le circuit pour injecter des données arbitraires dans le TCP stream.

2) Sending destroy cells depuis a circuit's origin inclut envoyant out a reason pour tearing down the circuit. Ceci weakens the Tor anonymity concept et peut permettre à un attaquant à narrow down users depuis a larger list.

3) Une erreur dans l'interprétation de guard nodes pourrait être exploitée à aid dans anonymity-related attaques.

4) Une erreur de limitation dans le BSD natd support pourrait être exploitée pour par ex. planter l'application.

L'exploitation de ce problème est possible seulement si le Natdport configuration option est ajouté à the torrc file sur un BSD system.

Les défauts et vulnérabilité sont rapportées en versions inférieures à 0.1.2.15.


Solutions :
Mettre à jour en version 0.1.2.15.
http://tor.eff.org/download.html.en


Vulnérabilité découverte par :

1-2) L'éditeur crédite lodger.
3) Rapportée par l'éditeur.
4) L'éditeur crédite croup.
Historique :
2007-07-31: Référence CVE ajoutée.

Référence :
http://archives.seul.org/or/announce/Jul-2007/msg00000.html




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20081204 Multi SEO phpBB pfad Vulnérabilité d'Inclusion de Fichier 4
20080911 Tor World CGI Scripts Vulnérabilités Cross Site Scripting 2
20080519 Multi Page Comment System CommentSystemAdmin Contournement de la Sécurité
20080221 Tor World CGI Scripts Vulnérabilités Cross Site Scripting
20071026 Multi Forums Vulnérabilités d'Injection SQL
20070816 Tor Multiple Failles et Vulnérabilité
20070816 Tor ControlPort torrc Rewrite Vulnérabilité
20070528 Tor Circuit Generation Entry Guard Check Faille
20061027 Multi Page Comment System path Vulnérabilités d'Inclusion de Fichiers
20060901 Tor Déni de Service et Traffic Routing
20060525 Tor Faille et Vulnérabilités Diverses
20060123 Tor Hidden Service Disclosure
20050919 Multi Computer Control System MCCS Vulnérabilité de Déni de Service
20050819 Tor Vulnérabilité de Cryptage
20050819 Tor Cryptographic Handshake Vulnérabilité
20050622 Tor Exposition de Données Sensibles
 
Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés
formation sécurité informatiqe