wiki/src/security/Numerous_security_holes_in_0.6.2.mdwn

   1 [[!meta date="Mon, 04 Apr 2011 11:12:13 +0000"]]
   2 [[!meta title="Numerous security holes in Tails 0.6.2"]]
   3 [[!pagetemplate template="news.tmpl"]]
   4
   5 [[!tag security/fixed]]
   6
   7 The following security holes affect Tails 0.6.2.
   8
   9 We **strongly** urge you to [[upgrade to Tails 0.7|news/version_0.7]]
  10 in case you are still using an older version.
  11
  12 [[!toc levels=1]]
  13
  14 # Incomplete "erase memory on shutdown" feature
  15
  16 As an [[external audit
  17 demonstrated|security/audits/Blackhat_De-Anonymizing_Live_CDs]], the
  18 "erase memory on shutdown" feature, as implemented in Tails 0.6.2 and
  19 older, does not erase as much memory as it could. More specifically:
  20
  21 1. Parts of the memory that are still allocated at shutdown time are
  22    not erased and can be recovered after shutdown; this includes the
  23    entire in-memory filesystem (associated meta-data, content of files
  24    created or modified since boot).
  25 2. Partial recovery of deleted file names and their meta-data is also
  26    possible.
  27
  28 This discovery lead to a brand new implementation of the memory
  29 erasure feature that is shipped in Tails 0.7. As a bonus, the memory
  30 is now also erased when the boot media is physically removed.
  31
  32 # Other security holes
  33
  34 These are Debian security announces; details can be found on the
  35 [Debian security page](http://security.debian.org/):
  36
  37   - Linux kernel (DSA-2153-1)
  38   - Iceweasel (DSA-2186, DSA-2200)
  39   - NSS (DSA-2203)
  40   - tiff (DSA-2210)
  41   - CUPS (DSA-2176)
  42   - Avahi (DSA-2174)
  43   - freetype (DSA-2155-1)
  44   - OpenOffice.org (DSA-2151-1)
  45   - D-bus (DSA-2149-1)