Update des Tor-Projekts schließt kritische Lücke

Die Entwickler der Anonymisierungslösung Tor haben die Version 0.2.1.29 veröffentlicht, um eine aus der Ferne ausnutzbare Lücke zu schließen. Ursache des Problems ist nach Angabe des Tor-Projekts ein Heap Overflow. Bereits die Ende Dezember erschienene Version 0.2.1.28 beseitigte einen Heap Overflow in Tor. Er ließ sich ebenfalls aus der Ferne missbrauchen, um Tor zum Absturz zu bringen. Die Entwickler wollten aber nicht ausschließen, dass sich darüber auch Code einschleusen und starten ließ.

Die neue Version 0.2.1.29 beseitigt daneben noch eine potenzielle DoS-Schwachstelle in Zusammenhang mit der zlib-Bibliothek für Kompression. Zudem werden nicht mehr benutzte Schlüssel mit Nullen überschrieben, bevor ihr Speicher freigegeben wird. Dies soll das Ausspähen von Schlüsseln bei zu vielen Zugriffsrechten verhindern. Die Fehler wurden auch in der Unstable-Version 0.2.2.21-alpha behoben.

Darüberhinaus haben die Entwickler zahlreiche weitere Fehler korrigiert, die die Stabilität der Software negativ beeinflusst haben. Tor 0.2.1.29 steht als Quellcode zum Download zur Verfügung. Für Windows Mac OS X und Linux gibt es bereits fertig kompilierte Versionen, auch in Kombination mit Vidalia. Bei Linux dürften demnächst zusätzlich die Distributoren aktuelle Pakete anbieten. (dab)