Update beseitigt Lücke in Anonymisierungsdienst Tor
Eine Sicherheitslücke in der Anonymisierungssoftware Tor hat es entfernten Angreifern unter Umständen erlaubt, die Konfigurationsdatei der Software zu manipulieren.
Die Version 0.1.2.16 der Anonymisierungssoftware Tor [1] beseitigt eine Sicherheitslücke, die es entfernten Angreifern unter Umständen erlaubt, die Konfigurationsdatei (torrc) des Benutzers zu manipulieren: Laut den Entwicklern kann die Lücke die Anonymität der Benutzer verletzen. Betroffen sind danach die meisten Konfigurationen, insbesondere solche, die Tor über grafischen Oberflächen wie Vidalia [2] oder TorK [3] steuern.
Die grafischen Oberflächen steuern den lokalen Tor-Dienst über das Tor-Control-Protokoll (TC), das Kommandos für den Anonymisierungsdienst am lokalen Port 9051 entgegennimmt. Tor schließt nach einer fehlenden Authentifizierung nun solche Verbindungen und erlaubt nur noch einen Anmeldeversuch. Laut Release-Notes [4] sind Tor-Installationen von der Lücke nicht betroffen, die in der Datei torrc den Parameter ControlPort ausgeschaltet haben. Die Entwickler empfehlen ausdrücklich ein Update auf die neue Version ihrer Software, die ab sofort auf der Projekt-Website zum Download [5] bereitsteht.
Für Benutzer von Vidalia, einem Programmpaket aus der grafischer Oberfläche und dem Tor-Dienst, steht ein neue Version für Mac OS X bereit. Windows-Benutzern empfehlen die Entwickler entweder auf ein kommendes Vidalia-Paket zu warten oder die aktuelle Tor-Software [6] und die grafische Oberfläche Vidalia [7] jeweils einzeln zu installieren.
Siehe auch:
- Neue Tor-Version: sicherer und anonymer [8]
- Anonymisierungsnetze über gefälschte Routing-Daten angreifbar [9]
- 23C3: Tor-Gründer beklagt staatlichen "Diebstahl" von Anonymisierungsservern [10]
(rek [11])
URL dieses Artikels:
https://www.heise.de/-159376
Links in diesem Artikel:
[1] http://tor.eff.org/index.html.de
[2] http://vidalia-project.net/
[3] http://www.kde-apps.org/content/show.php?content=39442
[4] http://permalink.gmane.org/gmane.network.onion-routing.announce/14
[5] https://tor.eff.org/download.html
[6] https://tor.eff.org/download-windows
[7] http://vidalia-project.net/download.php
[8] https://www.heise.de/news/Neue-Tor-Version-sicherer-und-anonymer-155171.html
[9] https://www.heise.de/news/Anonymisierungsnetze-ueber-gefaelschte-Routing-Daten-angreifbar-150788.html
[10] https://www.heise.de/news/23C3-Tor-Gruender-beklagt-staatlichen-Diebstahl-von-Anonymisierungsservern-129779.html
[11] mailto:rek@ct.de
Copyright © 2007 Heise Medien