wiki/src/security/Numerous_security_holes_in_0.6.2.mdwn

   1 [[!meta date="Mon Apr 4 11:12:13 2011"]]
   2 [[!meta title="Numerous security holes in Tails 0.6.2"]]
   3
   4 [[!tag security/fixed]]
   5
   6 The following security holes affect Tails 0.6.2.
   7
   8 We **strongly** urge you to [[upgrade to Tails 0.7|news/version_0.7]]
   9 in case you are still using an older version.
  10
  11 [[!toc levels=1]]
  12
  13 # Incomplete "erase memory on shutdown" feature
  14
  15 As an [[external audit
  16 demonstrated|security/audits/Blackhat_De-Anonymizing_Live_CDs]], the
  17 "erase memory on shutdown" feature, as implemented in Tails 0.6.2 and
  18 older, does not erase as much memory as it could. More specifically:
  19
  20 1. Parts of the memory that are still allocated at shutdown time are
  21    not erased and can be recovered after shutdown; this includes the
  22    entire in-memory filesystem (associated meta-data, content of files
  23    created or modified since boot).
  24 2. Partial recovery of deleted file names and their meta-data is also
  25    possible.
  26
  27 This discovery lead to a brand new implementation of the memory
  28 erasure feature that is shipped in Tails 0.7. As a bonus, the memory
  29 is now also erased when the boot media is physically removed.
  30
  31 # Other security holes
  32
  33 These are Debian security announces; details can be found on the
  34 [Debian security page](http://security.debian.org/):
  35
  36   - Linux kernel (DSA-2153-1)
  37   - Iceweasel (DSA-2186, DSA-2200)
  38   - NSS (DSA-2203)
  39   - tiff (DSA-2210)
  40   - CUPS (DSA-2176)
  41   - Avahi (DSA-2174)
  42   - freetype (DSA-2155-1)
  43   - OpenOffice.org (DSA-2151-1)
  44   - D-bus (DSA-2149-1)