Neue Tor-Version behebt zwei Sicherheitsprobleme
Die Entwickler des Anonymisierungsdienstes haben die Version 0.2.0.35 und einen Release Candidate für 0.2.1.x vorgelegt, in der DoS-Schwachstellen und eine DNS-Spoofing-Lücke beseitigt sind.
- Daniel Bachfeld
Die Entwickler des Tor-Projekts haben Version 0.2.0.35 ihrer Anonymisierungssoftware vorgelegt, die unter anderem zwei Sicherheitsprobleme beseitigt. So soll laut Bericht ein manipulierter Exit-Node einem Client vorgaukeln können, dass ein DNS-Request mit einer IP-Adresse im lokalen LAN aufgelöst wird. Die Schwachstelle wurde auch im Release Candidate der Tor-Version 0.2.1.x behoben. Genauere Angaben zur Lücke und zur Auswirkung machen die Entwickler nicht. Des Weiteren lässt sich Tor durch das Senden präparierter Router-Deskriptoren gezielt zum Absturz bringen.
Darüber hinaus sollen Tor-Nodes mit dynamischer IP-Adresse nun beim Wechsel der Adresse nicht mehr aus dem Tor-Netz verschwinden. Ursache des Problems waren lokale Kopien bestimmer Order, in denen noch die alte Adresse stand. Zudem soll sich die Software nun bei einem bestimmten Muster von Netzwerk-Timeouts und DNS-Fehlern nicht mehr aus dem Tritt bringen lassen.
Die Tor-Pakete stehen für Windows und Mac als Installer zum Download bereit, für Suse Linux und Red Hat gibt es fertige RPMs.
Siehe dazu auch:
- Tor 0.2.0.35 is released
- Tor im heise Software-Verzeichnis
(dab)