漏洞信息详情

Tor 'ControlPort'访问控制漏洞

• CNNVD编号：CNNVD-200708-078
• 危害等级： 高危
  
• CVE编号： CVE-2007-4174
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2007-08-07
• 威胁类型： 远程
• 更新时间： 2007-08-07
• 厂        商： tor
• 漏洞来源： Tor

漏洞简介

Tor是一个工具集，帮助各类组织和个人增强互联网上活动的安全。

Tor在处理特定的连接功能时存在漏洞，远程攻击者可能利用此漏洞非授权获取访问。

如果启用了Tor中的ControlPort功能的话，则在处理到ControlPort的多个连接时远程攻击者可以在某些情况下非授权重写用户的torrc配置文件，这可能弱化软件所提供的匿名服务。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://tor.eff.org/download.HTML.en

参考网址

来源: XF

名称: tor-control-command-execution(36407)

链接:http://xforce.iss.net/xforce/xfdb/36407

来源: XF

名称: tor-controlport-security-bypass(35784)

链接:http://xforce.iss.net/xforce/xfdb/35784

来源: SECTRACK

名称: 1018510

链接:http://www.securitytracker.com/id?1018510

来源: BID

名称: 25188

链接:http://www.securityfocus.com/bid/25188

来源: VUPEN

名称: ADV-2007-2768

链接:http://www.frsirt.com/english/advisories/2007/2768

来源: SECUNIA

名称: 26301

链接:http://secunia.com/advisories/26301

来源: OSVDB

名称: 36271

链接:http://osvdb.org/36271

来源: MLIST

名称: [or-announce] 20070901 Tor security advisory: cross-protocol http form attack

链接:http://archives.seul.org/or/announce/Sep-2007/msg00000.HTML

来源: MLIST

名称: [or-announce] 20070802 Tor 0.1.2.16 is released

链接:http://archives.seul.org/or/announce/Aug-2007/msg00000.HTML

受影响实体

• Tor Tor:0.1.2.15  
• Tor Tor:0.1.2.14  
• Tor Tor:0.1.2.13  
• Tor Tor:0.1.2.12  
• Tor Tor:0.1.2.11  

补丁

暂无