یک حفرهٔ امنیتی روی I2P ۰٫۹٫۱۳ اثر می‌گذارد که بخشی از تیلز ۱٫۱ و نسخه‌های پیش از آن است.

سطح و شدت

If you are using I2P in Tails 1.1 and earlier, an attacker can deanonymize you: they can learn the IP address that identifies you on the Internet.

برای این که بشود این حمله را انجام داد:

  1. the attacker must be able to affect the content of a website that you are visiting using the Tor Browser in Tails — many people are able to do so;

  2. و مهاجم باید ببیند که چطور می‌تواند از این حفرهٔ امنیتی سوءاستفاده کند؛ این اطلاعات هنوز منتشر نشده‌اند، اما ممکن است مهاجمان همین حالا آن را کشف کرده باشند یا در این مورد به آن‌ها اطلاع داده شده باشد.

Tails does not start I2P by default. This design decision was made precisely in order to protect the Tails users who do not use I2P from security holes in this piece of software.

Still, an attacker who would also be able to start I2P on your Tails, either by exploiting another undisclosed security hole, or by tricking you into starting it yourself, could then use this I2P security hole to deanonymize you.

راهکارهای موقتی

می‌توانید تا هنگام رفع این حفرهٔ امنیتی خود را از آن محافظت کنید.

I2P را روی تیلز ۱٫۱ یا قدیمی‌تر باز نکنید. همچنین می‌توانید هنگام هر بار راه‌اندازی تیلز بستهٔ i2p را از آن حذف کنید:

  1. یک گذرواژهٔ مدیریتی بسازید.
  2. این فرمان را از یک پایانهٔ اصلی اجرا کنید:

    apt-get purge i2p
    

اما اگر واقعاً احتیاج به استفاده از I2P در تیلز ۱٫۱ دارید: پیش از راه‌اندازی I2P با استفاده از نواسکریپت در مرورگر تور جاوااسکریپت را به طور کلی غیرفعال کنید.

قدردانی

این حفرهٔ امنیتی توسط Exodus Intelligence به ما گزارش شد.