Vulnerabilidad en las visitas a las direcciones onion v2 en Tor Browser (CVE-2021-39246)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
24/09/2021
Última modificación:
01/10/2021
Descripción
Tor Browser hasta la versión 10.5.6 y la versión 11.x hasta la 11.0a4 permite un ataque de correlación que puede comprometer la privacidad de las visitas a las direcciones v2 de la cebolla. Las marcas de tiempo exactas de estas visitas al servicio de cebolla se registran localmente, y un atacante podría ser capaz de compararlas con los datos de las marcas de tiempo recogidas por el servidor de destino (o recogidas por un sitio falso dentro de la red Tor)
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:torproject:tor_browser:*:*:*:*:*:*:*:* | 10.5.6 (incluyendo) | |
| cpe:2.3:a:torproject:tor_browser:11.0:alpha2:*:*:*:*:*:* | ||
| cpe:2.3:a:torproject:tor_browser:11.0:alpha4:*:*:*:*:*:* | ||
| cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/sickcodes/security/blob/master/advisories/SICK-2021-111.md
- https://gitlab.torproject.org/tpo/core/tor/-/commit/80c404c4b79f3bcba3fc4585d4c62a62a04f3ed9
- https://gitlab.torproject.org/tpo/core/tor/-/merge_requests/434
- https://sick.codes/sick-2021-111
- https://www.privacyaffairs.com/cve-2021-39246-tor-vulnerability