製品・ソフトウェアに関する情報

JVN脆弱性詳細

Tor における非表示サービスの IP アドレスを特定される脆弱性

Title	Tor における非表示サービスの IP アドレスを特定される脆弱性
Summary	Tor には、非表示サービスの IP アドレスを特定される脆弱性が存在します。本脆弱性は、CVE-2006-0414 とは異なる脆弱性です。
Possible impacts	第三者により、高負荷でアクセスされ、それによってサーバの CPU の温度を変更され、以下を経由して表示される時間の表示パターンを変更されることで、非表示サービスの IP アドレスを特定される可能性があります。 (1) ICMP タイムスタンプ (2) TCP シーケンス番号 (3) TCP タイムスタンプ
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 31, 2006, midnight
Registration Date	Dec. 20, 2012, 6:02 p.m.
Last Update	Dec. 20, 2012, 6:02 p.m.

Affected System

The Tor Project

Tor

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2006-6893	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6893
National Vulnerability Database (NVD)
2	CVE-2006-6893	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2006-6893

ベンダー情報

No	Name	URL
Tor
1	Top Page	https://www.torproject.org/

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2006-6893

Summary	Tor allows remote attackers to discover the IP address of a hidden service by accessing this service at a high rate, thereby changing the server's CPU temperature and consequently changing the pattern of time values visible through (1) ICMP timestamps, (2) TCP sequence numbers, and (3) TCP timestamps, a different vulnerability than CVE-2006-0414. NOTE: it could be argued that this is a laws-of-physics vulnerability that is a fundamental design limitation of certain hardware implementations, so perhaps this issue should not be included in CVE.
Summary	Tor permite a atacantes remotos descubrir la dirección IP de un servicio oculto accediendo a este servicio a un alto ritmo de repetición, y por tanto cambiando la temperatura de la CPU y consecuentemente cambiando el patrón de valores de tiempo visibles a través de (1) marcas de tiempo ICMP, (2) números de secuencia TCP, y (3) marcas de tiempo TCP, una vulnerabilidad distinta de CVE-2006-0414. NOTA: podría argumentarse que esto es una vulnerabilidad de las leyes de la física que es una limitación fundamental de diseño de determinadas implementaciones de hardware, por tanto quizás este problema no debería ser incluido en CVE.
Publication Date	Dec. 31, 2006, 2 p.m.
Registration Date	Jan. 29, 2021, 3:53 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:tor:tor:0.1.1.26:::::::*

Related information, measures and tools

No	URL	refsource
1	http://events.ccc.de/congress/2006/Fahrplan/events/1513.en.html	cve@mitre.org
2	http://www.cl.cam.ac.uk/~sjm217/papers/ccs06hotornot.pdf	cve@mitre.org
3	http://www.lightbluetouchpaper.org/2006/09/04/hot-or-not-revealing-hidden-services-by-their-clock-skew/	cve@mitre.org
4	http://events.ccc.de/congress/2006/Fahrplan/events/1513.en.html	af854a3a-2127-422b-91ae-364da2661108
5	http://www.cl.cam.ac.uk/~sjm217/papers/ccs06hotornot.pdf	af854a3a-2127-422b-91ae-364da2661108
6	http://www.lightbluetouchpaper.org/2006/09/04/hot-or-not-revealing-hidden-services-by-their-clock-skew/	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List