search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
blame | history | raw | HEAD
Calendar: add FT sprint
[tails/test.git] / wiki / src / security / Security_hole_in_I2P_0.9.13.mdwn
bloba4a0e959b18f5d8bd9a1a49f43b69fb697e68d9c
1 [[!meta date="Thu, 24 Jul 2014 21:15:00 +0000"]]
2 [[!meta title="Security hole in I2P 0.9.13"]]
3 [[!pagetemplate template="news.tmpl"]]
4
5 [[!tag security/fixed]]
6
7 A security hole affects I2P 0.9.13, that is part of Tails 1.1
8 and earlier.
9
10 Scope and severity
11 ==================
12
13 If you are [[using I2P|doc/anonymous_internet/i2p]] in Tails 1.1 and
14 earlier, an attacker can de-anonymize you: they can learn the IP
15 address that identifies you on the Internet.
16
17 To be able to conduct this attack:
18
19 1. the attacker must be able to affect the content of a website that
20    you are visiting using the [[Tor
21    Browser|doc/anonymous_internet/Tor_Browser]] in Tails — many people
22    are able to do so;
23
24 2. and, the attacker must find out how to exploit this security hole;
25    this information has not been published yet, but they may somehow
26    already have discovered it, or been made aware of it.
27
28 <div class="note">
29
30 <p><strong>Tails does not start I2P by default.</strong> [[This design
31 decision|contribute/design/I2P#design]] was made precisely in order to
32 protect the Tails users who do not use I2P from security holes in this
33 piece of software.</p>
34
35 <p>Still, an attacker who would also be able to start I2P on your
36 Tails, either by exploiting another undisclosed security hole, or by
37 tricking you into starting it yourself, could then use this I2P
38 security hole to de-anonymize you.</p>
39
40 </div>
41
42 Temporary solutions
43 ===================
44
45 You can protect yourself from this security hole until it
46 is corrected.
47
48 Do not start I2P in Tails 1.1 and earlier. You can protect yourself
49 further by removing the `i2p` package every time you start Tails:
50
51 1. [[Set an administration
52    password|doc/first_steps/welcome_screen/administration_password]].
53 1. Run this command in a <span class="application">Root
54    Terminal</span>:
55
56        apt-get purge i2p
57
58 However, if you really need to use I2P in Tails 1.1: before you start
59 I2P, disable JavaScript globally [[with
60 NoScript|doc/anonymous_internet/Tor_Browser#noscript]] in the
61 Tor Browser.
62
63 Credits
64 =======
65
66 This security hole was reported to us by Exodus Intelligence.