یک حفرهٔ امنیتی روی I2P ۰٫۹٫۱۳ اثر می‌گذارد که بخشی از تیلز ۱٫۱ و نسخه‌های پیش از آن است.

سطح و شدت

If you are using I2P in Tails 1.1 and earlier, an attacker can de-anonymize you: they can learn the IP address that identifies you on the Internet.

برای این که بشود این حمله را انجام داد:

  1. مهاجم باید بتواند روی محتوای یک تارنما که شما از آن با مرورگر تور در تیلز بازدید می‌کنید اثر بگذارد - افراد بسیاری قادر به این کار هستند؛

  2. و مهاجم باید ببیند که چطور می‌تواند از این حفرهٔ امنیتی سوءاستفاده کند؛ این اطلاعات هنوز منتشر نشده‌اند، اما ممکن است مهاجمان همین حالا آن را کشف کرده باشند یا در این مورد به آن‌ها اطلاع داده شده باشد.

Tails does not start I2P by default. This design decision was made precisely in order to protect the Tails users who do not use I2P from security holes in this piece of software.

با این حال یک مهاجم که بتواند I2P را چه با استفاده از یک حفرهٔ امنیتی دیگر و چه با راه‌اندازی کند، فریب دادن شما برای این کار روی تیلز شما باز کند، ممکن است بتواند از حفرهٔ امنیتی I2P برای بی‌اثر کردن ناشناسی شما استفاده کند.

راهکارهای موقتی

می‌توانید تا هنگام رفع این حفرهٔ امنیتی خود را از آن محافظت کنید.

I2P را روی تیلز ۱٫۱ یا قدیمی‌تر باز نکنید. همچنین می‌توانید هنگام هر بار راه‌اندازی تیلز بستهٔ i2p را از آن حذف کنید:

  1. یک گذرواژهٔ مدیریتی بسازید.
  2. این فرمان را از یک پایانهٔ اصلی اجرا کنید:

    apt-get purge i2p
    

اما اگر واقعاً احتیاج به استفاده از I2P در تیلز ۱٫۱ دارید: پیش از راه‌اندازی I2P با استفاده از نواسکریپت در مرورگر تور جاوااسکریپت را به طور کلی غیرفعال کنید.

قدردانی

این حفرهٔ امنیتی توسط Exodus Intelligence به ما گزارش شد.