search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
blame | history | raw | HEAD
Add blueprint.
[tails-test.git] / wiki / src / security / Security_hole_in_I2P_0.9.13.mdwn
blobfaca998cb0eca212029faf3d7391e414347fbe9a
1 [[!meta date="Thu Jul 24 21:15:00 2014"]]
2 [[!meta title="Security hole in I2P 0.9.13"]]
3
4 A security hole affects I2P 0.9.13, that is part of Tails 1.1
5 and earlier.
6
7 Scope and severity
8 ==================
9
10 If you are [[using I2P|doc/anonymous_internet/i2p]] in Tails 1.1 and
11 earlier, an attacker can de-anonymize you: they can learn the IP
12 address that identifies you on the Internet.
13
14 To be able to conduct this attack:
15
16 1. the attacker must be able to affect the content of a website that
17    you are visiting using the [[Tor
18    Browser|doc/anonymous_internet/Tor_Browser]] in Tails — many people
19    are able to do so;
20
21 2. and, the attacker must find out how to exploit this security hole;
22    this information has not been published yet, but they may somehow
23    already have discovered it, or been made aware of it.
24
25 <div class="note">
26
27 <p><strong>Tails does not start I2P by default.</strong> [[This design
28 decision|contribute/design/I2P#design]] was made precisely in order to
29 protect the Tails users who do not use I2P from security holes in this
30 piece of software.</p>
31
32 <p>Still, an attacker who would also be able to start I2P on your
33 Tails, either by exploiting another undisclosed security hole, or by
34 tricking you into starting it yourself, could then use this I2P
35 security hole to de-anonymize you.</p>
36
37 </div>
38
39 Temporary solutions
40 ===================
41
42 You can protect yourself from this security hole until it
43 is corrected.
44
45 Do not start I2P in Tails 1.1 and earlier. You can protect yourself
46 further by removing the `i2p` package every time you start Tails:
47
48 1. [[Set an administration
49    password|doc/first_steps/startup_options/administration_password]].
50 1. Run this command in a <span class="application">Root
51    Terminal</span>:
52
53        apt-get purge i2p
54
55 However, if you really need to use I2P in Tails 1.1: before you start
56 I2P, disable JavaScript globally [[with
57 NoScript|doc/anonymous_internet/Tor_Browser#noscript]] in the
58 Tor Browser.
59
60 Credits
61 =======
62
63 This security hole was reported to us by Exodus Intelligence.
tails mirror test with git rewrite