Tor目录远程信息泄露漏洞

漏洞起因
设计错误
危险等级

 
影响系统
Tor Tor 0.2.2 .21-alpha
 Tor Tor 0.2.2 .20-alpha
 Tor Tor 0.2.2 .19-alpha
 Tor Tor 0.2.2 .18-alpha
 Tor Tor 0.2.2 .17-alpha
 Tor Tor 0.2.2 .16-alpha
 Tor Tor 0.2.2 .15-alpha
 Tor Tor 0.2.2 .14-alpha
 Tor Tor 0.2.2 
 Tor Tor 0.2 .35
 Tor Tor 0.2 .34
 Tor Tor 0.2 .33
 Tor Tor 0.2 .32
 Tor Tor 0.2 .31
 Tor Tor 0.1.2 14
 Tor Tor 0.1.1 23
 Tor Tor 0.1.1 .5-alpha
 Tor Tor 0.1.1 .4-alpha
 Tor Tor 0.1.1 .3-alpha
 Tor Tor 0.1.1 .20
 Tor Tor 0.1.1 .2-alpha
 Tor Tor 0.1.1 .1-alpha
 Tor Tor 0.1 18
 Tor Tor 0.1 .0.14
 Tor Tor 0.1 .0.13
 Tor Tor 0.1 .0.12
 Tor Tor 0.1 .0.11
 Tor Tor 0.1 .0.10
 Tor Tor 0.0.9 .9
 Tor Tor 0.0.9 .8
 Tor Tor 0.0.9 .7
 Tor Tor 0.0.9 .6
 Tor Tor 0.0.9 .5
 Tor Tor 0.0.9 .4
 Tor Tor 0.0.9 .3
 Tor Tor 0.0.9 .2
 Tor Tor 0.0.9 .10
 Tor Tor 0.0.9 .1
 Tor Tor 0.0.9 
 Tor Tor 0.2.1.21
 Tor Tor 0.2.1.20
 Tor Tor 0.1.2.16
 Tor Tor 0.1.2.15
 Tor Tor 0.1.2.1 alpha-cvs
 
 
不受影响系统
Tor Tor 0.2.2.34
 
危害
远程攻击者可以利用漏洞获得敏感信息。
 
攻击所需条件
攻击者必须访问Tor。
 
漏洞信息
Tor是第二代洋葱路由(onion routing)的一种实现。
Tor存在安全漏洞,允许恶意用户获得敏感信息。
-Tor存在设计缺陷,允许恶意中继服务器获得敏感信息。用户连接恶意中继服务器可获悉用户直接连接的其他中继,组合这些攻击,此缺陷可导致用户非匿名化(CVE-2011-2768)。
-在0.2.2.34中,网桥拒绝在它们初始化的OR连接上重用CREATE或CREATE_FAST单元。之前,中继可区分来自客户端连接的传入网桥连接,创建另一个可枚举网桥的矢量(CVE-2011-2769)。
 
测试方法
 
厂商解决方案 
Tor 0.2.2.34已经修复此漏洞,建议用户下载使用:
http://www.torproject.org/index.html.en
 
漏洞提供者
frosty_un

发表评论?

0 条评论。

发表评论