- security
- Attaque à distance possible sur les services onion
La création de services onion à partir de Tails 5.19 et des versions antérieurs est dangereux.
Nous vous recommandons d'arrêter d'utiliser OnionShare et de mettre à jour vers Tails 5.19.1.
The Tor Project a publié un correctif de sécurité pour une vulnérabilité nommée TROVE-2023-006.
Les détails de TROVE-2023-006 n'ont pas été divulgués par le Projet Tor pour laisser du temps aux personnes l'utilisant de mettre à jour avant d'en révéler plus. Nous savons uniquement que le Projet Tor décrit TROVE-2023-006 comme "déclenchable a distance depuis les services onion".
Notre équipe pense que cette faille de sécurité pourrait affecter les personnes utilisant Tails qui créent des services onion depuis leur Tails, par exemple en partageant des fichiers ou en publiant un site web avec OnionShare.
This vulnerability might allow an attacker who already knows your OnionShare address to make your Tor client crash. A powerful attacker might be able to further exploit this crash to reveal your IP address.
This analysis is only a hypothesis because our team doesn't have access to more details about this vulnerability. Still, we are releasing this emergency release as a precaution.
OnionShare is the only application included in Tails that creates onion services. You are not affected by this vulnerability if you don't use OnionShare in Tails and only use Tails to connect to onion services and don't create onion services using Additional Software.