Salut !
Tor (''The Onion Router''), ne faisait guère parler de lui jusqu'à ce que la bande d'Eric Filiol prétende l'avoir ''hacké''. Cette fois, l'annonce de failles de sécurité dans le routeur en oignon vient de Gentoo et donc du monde plus sérieux de Linux.
Selon la formule habituelle, la plus sévère de ces failles permettrait à un attaquant extérieur d'exécuter du ''code arbitraire'' dans les versions antérieures à la 0.2.2.35.
Ces failles ont déjà été colmatées. Il est impératif de passer à la dernière version de Tor.Multiple vulnerabilities have been discovered in Tor:
- When configured as client or bridge, Tor uses the same TLS certificate chain for all outgoing connections (CVE-2011-2768).
- When configured as a bridge, Tor relays can distinguish incoming bridge connections from client connections (CVE-2011-2769).
- An error in or/buffers.c could result in a heap-based buffer overflow (CVE-2011-2778).
Tor Download
D'autres failles de sécurité ont été découvertes dans la version 0.9 de Tails ("The Amnesic Incognito Live System") qui utilise Tor. Là encore, il faut passer à la dernière version (0.10) où elles sont corrigées.
@+