{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Toutes les versions de Tor ant\u00e9rieures \u00e0 0.1.1.20.</P>","content":"## Description\n\nTor est un r\u00e9seau de tunnels virtuels permettant de garantir une\ncertaine anonymit\u00e9 au cours de la navigation sur Internet. Chaque\nutilisateur participe \u00e0 sa construction. Plusieurs vuln\u00e9rabilit\u00e9s ont\n\u00e9t\u00e9 identifi\u00e9es dans les versions de Tor ant\u00e9rieures \u00e0 0.1.1.20. Parmi\ncelles-ci :\n\n-   les cha\u00eenes de caract\u00e8res venant du r\u00e9seau ne sont pas correctement\n    v\u00e9rifi\u00e9es. Un utilisateur malveillant peut alt\u00e9rer l'int\u00e9grit\u00e9 des\n    journaux avant qu'ils ne soient affich\u00e9s.\n-   les options de pare-feu ne sont pas scrupuleusement respect\u00e9es. La\n    politique de s\u00e9curit\u00e9 peut alors \u00eatre contourn\u00e9e.\n-   des attaques de type d\u00e9bordement de m\u00e9moire sont possibles quand des\n    \u00e9l\u00e9ments sont ajout\u00e9s dans la liste courante (ou smartlist).\n-   les cl\u00e9s de chiffrement ne sont pas renouvel\u00e9es lorsque\n    l'utilisateur change son adresse IP.\n-   il est possible de deviner le choix des noeuds internes \u00e0 partir\n    d'attaques statistiques, connaissant les chemins (ou circuits) ayant\n    des noeuds de sortie.\n-   il n'est pas possible de choisir, voire d'imposer, une liste de\n    noeuds d'entr\u00e9e. Ceci favorise alors les attaques de proximit\u00e9\n    issues de noeuds inconnus.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2006-0414","url":"https://www.cve.org/CVERecord?id=CVE-2006-0414"}],"links":[{"title":"D\u00e9tails sur la mise \u00e0 jour de s\u00e9curit\u00e9 de la version 1.1.20    de Tor :","url":"http://tor.eff.org/cvs/tor/ChangeLog"},{"title":"Mise \u00e0 jour de Tor :","url":"http://tor.eff.org/download.html.fr"}],"reference":"CERTA-2006-AVI-218","revisions":[{"description":"version initiale.","revision_date":"2006-05-26T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans Tor. Elles peuvent\npermettre \u00e0 un utilisateur d'effectuer des actions malveillantes, comme\nla modification du processus de journalisation, un d\u00e9ni de service, ou\nencore la r\u00e9cup\u00e9reration d'informations sensibles.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Tor","vendor_advisories":[{"published_at":null,"title":"Bulletin de mise \u00e0 jour Tor du 23 mai 2006","url":null}]}