发布日期：2008-12-04
更新日期：2008-12-08

受影响系统：

Tor Tor 0.2.0.31

不受影响系统：

Tor Tor 0.2.0.32

描述：

---

BUGTRAQ  ID: 32648
CVE(CAN) ID: CVE-2008-5397,CVE-2008-5398

Tor（The Onion Router）是第二代洋葱路由的一种实现，用户通过Tor可以在因特网上进行匿名交流。

Tor没有正确地丢弃通过User参数所指定的用户主组权限，这可能导致以非预期权限运行tor进程。这个漏洞仅影响UNIX类操作系统。

Tor没有正确地强制ClientDNSRejectInternalAddresses配置选项，这可能会削弱安全性，允许攻击者较容易的绕过安全限制。

<*来源：Theo de Raadt （deraadt@cvs.openbsd.org）
        rovv
  
  链接：http://secunia.com/advisories/33025/
        http://security.gentoo.org/glsa/glsa-200904-11.xml
*>

建议：

---

厂商补丁：

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200904-11）以及相应补丁:
GLSA-200904-11：Tor: Multiple vulnerabilities
链接：http://security.gentoo.org/glsa/glsa-200904-11.xml

所有Tor用户都应升级到最新版本：

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=net-misc/tor-0.2.0.34"

Tor
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.torproject.org/download.html

浏览次数：2470
严重程度：0（网友投票）