یک حفرهٔ امنیتی روی I2P ۰٫۹٫۱۳ اثر میگذارد که بخشی از تیلز ۱٫۱ و نسخههای پیش از آن است.
سطح و شدت
اگر در تیلز ۱٫۱ یا قدیمیتر از ?از I2P استفاده میکنید یک مهاجم میتواند ناشناسی شما را بیاثر کند: این کار با فهمیدن نشانی آیپی که شما را روی اینترنت مشخص میکند انجام میشود.
برای این که بشود این حمله را انجام داد:
مهاجم باید بتواند روی محتوای یک تارنما که شما از آن با مرورگر تور در تیلز بازدید میکنید اثر بگذارد - افراد بسیاری قادر به این کار هستند؛
و مهاجم باید ببیند که چطور میتواند از این حفرهٔ امنیتی سوءاستفاده کند؛ این اطلاعات هنوز منتشر نشدهاند، اما ممکن است مهاجمان همین حالا آن را کشف کرده باشند یا در این مورد به آنها اطلاع داده شده باشد.
تیلز به طور پیشفرض I2P را اجرا نمیکند. ?این تصمیم طراحی جهت محافظت از آن دسته از کاربران تیلز که از I2P استفاده نمیکنند از حفرههای امنیتی این نرمافزار گرفته شدهاست.
با این حال یک مهاجم که بتواند I2P را چه با استفاده از یک حفرهٔ امنیتی دیگر و چه با راهاندازی کند، فریب دادن شما برای این کار روی تیلز شما باز کند، ممکن است بتواند از حفرهٔ امنیتی I2P برای بیاثر کردن ناشناسی شما استفاده کند.
راهکارهای موقتی
میتوانید تا هنگام رفع این حفرهٔ امنیتی خود را از آن محافظت کنید.
I2P را روی تیلز ۱٫۱ یا قدیمیتر باز نکنید. همچنین میتوانید هنگام هر بار
راهاندازی تیلز بستهٔ i2p
را از آن حذف کنید:
- یک گذرواژهٔ مدیریتی بسازید.
این فرمان را از یک پایانهٔ اصلی اجرا کنید:
apt-get purge i2p
اما اگر واقعاً احتیاج به استفاده از I2P در تیلز ۱٫۱ دارید: پیش از راهاندازی I2P با استفاده از نواسکریپت در مرورگر تور جاوااسکریپت را به طور کلی غیرفعال کنید.
قدردانی
این حفرهٔ امنیتی توسط Exodus Intelligence به ما گزارش شد.