Failles de sécurité importante découverte dans le logiciel TOR

1
90

Selon le dernier message de l’équipe de sécurité de Gentoo Linux, il existe plusieurs vulnérabilités qui ont été découvertes dans le logiciel TOR, dont certaines qualifiées de sévères, pouvant permettre à un attaquant distant d’exécuter du code arbitraire sur la machine.

TOR est une mise en œuvre de la deuxième génération dite de “Onion Routing”, un service de communication orienté vers l’anonymat de la connexion.

En utilisant cette vulnérabilité à distance, un attaquant pourrait exécuter du code arbitraire ou causer un déni de service. Par ailleurs, un relais à distance d’un utilisateur directement connecté serait peut-être en mesure de divulguer des informations anonymes sur l’utilisateur.

L’équipe de sécurité a expliqué que les paquets vulnérables sont ceux inférieurs à la version 0.2.2.35. Plusieurs vulnérabilités ont été découvertes dans Tor, en voici la liste ci-dessous :

* Lorsqu’il est configuré comme client ou comme relais, Tor utilise la même chaîne avec le certificat TLS pour toutes les connexions sortantes (CVE-2011-2768).
* Lorsqu’il est configuré comme un relais, on peut distinguer les connexions entrantes à partir du relais des connexions clients (CVE-2011-2769).
* Une erreur dans buffers.c pourrait conduire à un dépassement de mémoire tampon (CVE-2011-2778).

Tous les utilisateurs de Tor sont invités à passer à la dernière version.

Les commentaires sont fermés.