1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
|
#use wml::debian::translation-check translation="5b028360cb42da0e01e7abe17329aa378f8f43d4" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В Tor, анонимной системе передачи данных с низкой задержкой, были
обнаружены несколько проблем, приводящих к утечкам
информации.</p>
<ul>
<li><p>Сообщения ретрансляторов раннего выхода могут использоваться для совместной тайной отметки ретрансляторами сети
пользовательских маршрутов и, следовательно, осуществления атак по принципу подтверждения трафика
[<a href="https://security-tracker.debian.org/tracker/CVE-2014-5117">CVE-2014-5117</a>]. Загруженная версия программы выводит предупреждение и
сбрасывает данные маршрута при получении входящих сообщений ретрансляторов раннего выхода, что помогает
предотвратить этот конкретный вид атак. За дополнительной информацией по этой проблеме обратитесь
к следующей рекомендации:</p>
<p><a href="https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack">\
https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack</a></p>
</li>
<li><p>Ошибка в проверке границ массива в 32-х битной реализации curve25519-donna
может приводить к некорректным результатам на 32-х битных
реализациях при использовании некоторых некорректных вводных данных вместе с
небольшим классом закрытых ключей ntor. Данная уязвимость в настоящее время
не позволяет злоумышленнику определить закрытые ключи, либо определить
сервер Tor, но она позволяет отличить 32-х битную реализацию Tor
от 64-х битной реализации.</p></li>
</ul>
<p>Также были реализованы следующие дополнительные улучшения,
связанные с безпасностью:</p>
<ul>
<li><p>Клиент новой версии эффективно останавливается при использовании сообщений
CREATE_FAST. Хотя это и увеличивает вычислительную нагрузку на сеть, этот
подход может улучшить безопасность соединений, в которых рукопожатие маршрута Tor
сильнее, чем доступные уровни TLS
соединения.</p></li>
<li><p>Подготовка клиентов к использованию защитников с меньшим количеством составляющих, благодаря
специальным параметрам. Следующая статья предоставляет некоторую базовую информацию об этом:</p>
<p><a href="https://blog.torproject.org/blog/improving-tors-anonymity-changing-guard-parameters">\
https://blog.torproject.org/blog/improving-tors-anonymity-changing-guard-parameters</a></p>
</li>
</ul>
<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 0.2.4.23-1~deb7u1.</p>
<p>В тестируемом (jessie) и нестабильном
(sid) выпусках эти проблемы были исправлены в версии 0.2.4.23-1.</p>
<p>В экспериментальном выпуске эти проблемы были исправлены в
версии 0.2.5.6-alpha-1.</p>
<p>Рекомендуется обновить пакеты tor.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2993.data"
# $Id$
|