- security
- حفرهٔ امنیتی در I2P ۰٫۹٫۱۳
یک حفرهٔ امنیتی روی I2P ۰٫۹٫۱۳ اثر میگذارد که بخشی از تیلز ۱٫۱ و نسخههای پیش از آن است.
سطح و شدت
If you are using I2P in Tails 1.1 and earlier, an attacker can deanonymize you: they can learn the IP address that identifies you on the Internet.
برای این که بشود این حمله را انجام داد:
the attacker must be able to affect the content of a website that you are visiting using the Tor Browser in Tails — many people are able to do so;
و مهاجم باید ببیند که چطور میتواند از این حفرهٔ امنیتی سوءاستفاده کند؛ این اطلاعات هنوز منتشر نشدهاند، اما ممکن است مهاجمان همین حالا آن را کشف کرده باشند یا در این مورد به آنها اطلاع داده شده باشد.
Tails does not start I2P by default. This design decision was made precisely in order to protect the Tails users who do not use I2P from security holes in this piece of software.
Still, an attacker who would also be able to start I2P on your Tails, either by exploiting another undisclosed security hole, or by tricking you into starting it yourself, could then use this I2P security hole to deanonymize you.
راهکارهای موقتی
میتوانید تا هنگام رفع این حفرهٔ امنیتی خود را از آن محافظت کنید.
I2P را روی تیلز ۱٫۱ یا قدیمیتر باز نکنید. همچنین میتوانید هنگام هر بار
راهاندازی تیلز بستهٔ i2p
را از آن حذف کنید:
- یک گذرواژهٔ مدیریتی بسازید.
این فرمان را از یک پایانهٔ اصلی اجرا کنید:
apt-get purge i2p
اما اگر واقعاً احتیاج به استفاده از I2P در تیلز ۱٫۱ دارید: پیش از راهاندازی I2P با استفاده از نواسکریپت در مرورگر تور جاوااسکریپت را به طور کلی غیرفعال کنید.
قدردانی
این حفرهٔ امنیتی توسط Exodus Intelligence به ما گزارش شد.