search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
blame | history | raw | HEAD
Merge remote-tracking branch 'flapflap/de-network_configuration'
[tails-test.git] / wiki / src / security / Security_hole_in_I2P_0.9.13.mdwn
blob4fbbc7c8f02c5a742b08382b4b5a04b5a97a25df
1 [[!meta date="Thu Jul 24 21:15:00 2014"]]
2 [[!meta title="Security hole in I2P 0.9.13"]]
3
4 [[!tag security/fixed]]
5
6 A security hole affects I2P 0.9.13, that is part of Tails 1.1
7 and earlier.
8
9 Scope and severity
10 ==================
11
12 If you are [[using I2P|doc/anonymous_internet/i2p]] in Tails 1.1 and
13 earlier, an attacker can de-anonymize you: they can learn the IP
14 address that identifies you on the Internet.
15
16 To be able to conduct this attack:
17
18 1. the attacker must be able to affect the content of a website that
19    you are visiting using the [[Tor
20    Browser|doc/anonymous_internet/Tor_Browser]] in Tails — many people
21    are able to do so;
22
23 2. and, the attacker must find out how to exploit this security hole;
24    this information has not been published yet, but they may somehow
25    already have discovered it, or been made aware of it.
26
27 <div class="note">
28
29 <p><strong>Tails does not start I2P by default.</strong> [[This design
30 decision|contribute/design/I2P#design]] was made precisely in order to
31 protect the Tails users who do not use I2P from security holes in this
32 piece of software.</p>
33
34 <p>Still, an attacker who would also be able to start I2P on your
35 Tails, either by exploiting another undisclosed security hole, or by
36 tricking you into starting it yourself, could then use this I2P
37 security hole to de-anonymize you.</p>
38
39 </div>
40
41 Temporary solutions
42 ===================
43
44 You can protect yourself from this security hole until it
45 is corrected.
46
47 Do not start I2P in Tails 1.1 and earlier. You can protect yourself
48 further by removing the `i2p` package every time you start Tails:
49
50 1. [[Set an administration
51    password|doc/first_steps/startup_options/administration_password]].
52 1. Run this command in a <span class="application">Root
53    Terminal</span>:
54
55        apt-get purge i2p
56
57 However, if you really need to use I2P in Tails 1.1: before you start
58 I2P, disable JavaScript globally [[with
59 NoScript|doc/anonymous_internet/Tor_Browser#noscript]] in the
60 Tor Browser.
61
62 Credits
63 =======
64
65 This security hole was reported to us by Exodus Intelligence.
tails mirror test with git rewrite