| Summary | Tor before 0.1.2.16, when ControlPort is enabled, does not properly restrict commands to localhost port 9051, which allows remote attackers to modify the torrc configuration file, compromise anonymity, and have other unspecified impact via HTTP POST data containing commands without valid authentication, as demonstrated by an HTML form (1) hosted on a web site or (2) injected by a Tor exit node. |
|---|---|
| Publication Date | Aug. 7, 2007, 7:17 p.m. |
| Registration Date | Jan. 29, 2021, 2:17 p.m. |
| Last Update | July 29, 2017, 10:32 a.m. |
| CVSS2.0 : MEDIUM | |
| Score | 5.8 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:P/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:tor:tor:0.1.2.1:alpha:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.3:alpha:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.5:alpha:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.6:alpha:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.7:alpha:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.8:beta:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.11:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.12:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.13:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:0.1.2.14:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:tor:tor:*:*:*:*:*:*:*:* | 0.1.2.15 | ||||
| Title | Tor における torrc 設定ファイルを変更される脆弱性 |
|---|---|
| Summary | Tor は、制御ポートが有効になっている際、localhost ポート 9051 へのコマンドを適切に制限しないため、torrc 設定ファイルを変更される、および匿名性を侵害される脆弱性が存在します。 |
| Possible impacts | 第三者により、有効な認証なしでコマンドを含む HTTP POST データを介して、torrc 設定ファイルを変更される、および匿名性を侵害される可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Aug. 7, 2007, midnight |
| Registration Date | Dec. 20, 2012, 6:33 p.m. |
| Last Update | Dec. 20, 2012, 6:33 p.m. |
| The Tor Project |
| Tor 0.1.2.16 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |