• Saltar al contenido
  • Saltar a la barra lateral principal
  • Saltar al pie de página
  • Inicio
  • Auditoría
  • Eventos
  • Formación
  • General
  • Malware
  • Vulnerabilidades
  • Un blog de

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Actualización de seguridad para Tor

Actualización de seguridad para Tor

5 diciembre, 2017 Por Hispasec Deja un comentario

Se han corregido cinco vulnerabilidades en Tor (The Onion Router), el software que posibilita la creación y acceso a la red anónima con el mismo nombre.


Las vulnerabilidades corregidas son las siguientes:

Se ha corregido un fallo durante el proceso de entrada de una frase paso en OpenSSL. Este error podría ser usado por un atacante para causar una denegación de servicio a través de un objeto de tipo directorio especialmente manipulado. Este fallo solo afectaría a Tor cuando el proceso se ha lanzado desde una terminal.

Otro fallo similar ha sido corregido al procesar descriptores de enrutadores con idéntico resultado, una denegación de servicio. 

También se ha corregido un error del tipo ‘user-after-free’ en el código de apertura de circuitos, es decir, desreferenciar un objeto al que previamente se ha liberado de memoria, pudiendo desencadenar, de nuevo, una denegación de servicio y potencialmente, en determinadas condiciones, la ejecución de código arbitrario.

Ha sido corregido un fallo de chequeo de reemisión de fragmentos de una célula, cifrados con RSA. Según detallan, anteriormente se efectuaba una comprobación de toda la célula, pero debido al tipo de cifrado que se usa en Tor, híbrido, era posible hacer pasar un fragmento anterior mediante reemisión (replay). Ahora se chequea específicamente el fragmento de la célula que se ha cifrado con RSA.

El último error se encuentra en una autoreferencia a nuestro nodo, cuando este actúa de relay, en la planificación de rutas y con el rol de ‘guard’.

Los CVE correspondientes son: CVE-2017-8819, CVE-2017-8820, CVE-2017-8821, CVE-2017-8822, CVE-2017-8823.

Se recomienda la actualización de Tor para corregir las vulnerabilidades comentadas. Adicionalmente, se han corregido fallos de programación que corrigen bugs de funcionalidad u optimización del proceso.



David García
@dgn1729

Más información:

p.p1 {margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px ‘Helvetica Neue’; color: #454545}

New stable Tor releases, with security fixes: 0.3.1.9, 0.3.0.13, 0.2.9.14, 0.2.8.17, 0.2.5.16
https://blog.torproject.org/new-stable-tor-releases-security-fixes-0319-03013-02914-02817-02516





Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Archivado en: Vulnerabilidades

Interacciones del lector

Deja un comentario Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral primaria

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

  • E-mail
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Populares de UAD

  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Un fallo de seguridad en Facebook permite ver fotos privadas de otros usuarios
  • Vulnerabilidad crítica en Wordpress pasa desapercibida durante más de 6 años

Entradas recientes

  • Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Nueva campaña de Phishing contra Facebook
  • Un fallo de seguridad en Facebook permite ver fotos privadas de otros usuarios
  • Secuestro de cuenta en Facebook

Footer

Una al Día

Una-al-día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Nueva campaña de Phishing contra Facebook

Etiquetas

Android Apple D-Link Facebook Filtración Google iOS Koodous linux malware Microsoft Microsoft Edge MongoDB Moodle Mozilla mySQL Nagios Netgear NetWeaver NVIDIA ONTSI OpenOffice OpenSSH OpenSSL Opera Oracle OS X Pharming Phishing Photoshop PHP PostgreSQL Pwn2Own QuickTime ransomware RAT Red Hat safari Squid vulnerabilidad vulnerabilidades vulnerability Windows WordPress XSS

Copyright © 2019 · Hispasec

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumiremos que estás de acuerdo.Vale