یک حفرهٔ امنیتی روی I2P ۰٫۹٫۱۳ اثر می‌گذارد که بخشی از تیلز ۱٫۱ و نسخه‌های پیش از آن است.

سطح و شدت

اگر در تیلز ۱٫۱ یا قدیمی‌تر از ?از I2P استفاده می‌کنید یک مهاجم می‌تواند ناشناسی شما را بی‌اثر کند: این کار با فهمیدن نشانی آی‌پی که شما را روی اینترنت مشخص می‌کند انجام می‌شود.

برای این که بشود این حمله را انجام داد:

  1. مهاجم باید بتواند روی محتوای یک تارنما که شما از آن با مرورگر تور در تیلز بازدید می‌کنید اثر بگذارد - افراد بسیاری قادر به این کار هستند؛

  2. و مهاجم باید ببیند که چطور می‌تواند از این حفرهٔ امنیتی سوءاستفاده کند؛ این اطلاعات هنوز منتشر نشده‌اند، اما ممکن است مهاجمان همین حالا آن را کشف کرده باشند یا در این مورد به آن‌ها اطلاع داده شده باشد.

تیلز به طور پیش‌فرض I2P را اجرا نمی‌کند. ?این تصمیم طراحی جهت محافظت از آن دسته از کاربران تیلز که از I2P استفاده نمی‌کنند از حفره‌های امنیتی این نرم‌افزار گرفته شده‌است.

با این حال یک مهاجم که بتواند I2P را چه با استفاده از یک حفرهٔ امنیتی دیگر و چه با راه‌اندازی کند، فریب دادن شما برای این کار روی تیلز شما باز کند، ممکن است بتواند از حفرهٔ امنیتی I2P برای بی‌اثر کردن ناشناسی شما استفاده کند.

راهکارهای موقتی

می‌توانید تا هنگام رفع این حفرهٔ امنیتی خود را از آن محافظت کنید.

I2P را روی تیلز ۱٫۱ یا قدیمی‌تر باز نکنید. همچنین می‌توانید هنگام هر بار راه‌اندازی تیلز بستهٔ i2p را از آن حذف کنید:

  1. یک گذرواژهٔ مدیریتی بسازید.
  2. این فرمان را از یک پایانهٔ اصلی اجرا کنید:

    apt-get purge i2p
    

اما اگر واقعاً احتیاج به استفاده از I2P در تیلز ۱٫۱ دارید: پیش از راه‌اندازی I2P با استفاده از نواسکریپت در مرورگر تور جاوااسکریپت را به طور کلی غیرفعال کنید.

قدردانی

این حفرهٔ امنیتی توسط Exodus Intelligence به ما گزارش شد.