يحتوي هذا الإصدار على إصلاحات لثغرة CVE-2023-36325. تُعد CVE-2023-36325 ثغرة ناتجة عن التباس السياق وقعت في Bloom filter (مرشح احتمالي للتحقق من العضوية). يقوم المهاجم بإنشاء رسالة I2NP تحتوي على messageID فريد، ويرسل ذلك messageID إلى عميل. بعد مرور الرسالة عبر Bloom filter، لا يُسمح بإعادة استخدامها في رسالة ثانية. ثم يرسل المهاجم الرسالة نفسها مباشرةً إلى الـ router. يمرر الـ router الرسالة إلى Bloom filter ويتم إسقاطها. هذا يُسرِّب معلومة مفادها أن messageID قد شوهد من قبل، مما يمنح المهاجم سببًا قويًا للاعتقاد بأن الـ router يستضيف العميل. تم إصلاح ذلك عبر فصل وظائف Bloom filter إلى سياقات مختلفة بناءً على ما إذا كانت الرسالة قد وصلت عبر tunnel الخاص بالعميل، أو عبر tunnel استكشافي، أو أُرسلت مباشرةً إلى الـ router. في الظروف العادية، يستغرق تنفيذ هذا الهجوم بنجاح عدة أيام، وقد تُربكه عدة عوامل مثل إعادة تشغيل الـ routers أثناء مرحلة الهجوم والحساسية للإيجابيات الكاذبة. يُنصَح مستخدمو Java I2P بالتحديث فورًا لتفادي الهجوم.

في سياق إصلاح خلل التباس السياق، قمنا بمراجعة بعض استراتيجياتنا للبرمجة الدفاعية لمواجهة هذه الأنواع من التسريبات. ويشمل ذلك إجراء تعديلات على netDb، وآليات تحديد المعدّل، وسلوك floodfill routers.

يضيف هذا الإصدار not_bob كمزود hosts افتراضي ثانٍ، ويضيف notbob.i2p وramble.i2p إلى الصفحة الرئيسية لوحدة التحكم.

يحتوي هذا الإصدار أيضاً على قائمة حظر قابلة للتعديل. الحظر شبه دائم؛ إذ يُحظر كل عنوان IP عادةً حتى إعادة تشغيل router. قد يختار المستخدمون الذين يلاحظون نمواً انفجارياً في قائمة الحظر أثناء هجمات سيبيل تفعيل مهلات أقصر عبر ضبط قائمة الحظر بحيث تنتهي صلاحية الإدخالات بعد فترة زمنية. هذه الميزة معطّلة افتراضياً، ولا يُنصح بها حالياً إلا للمستخدمين المتقدمين.

يتضمن هذا الإصدار أيضًا واجهة برمجة تطبيقات (API) تُمكّن الإضافات من التعديل باستخدام واجهة المستخدم الرسومية لسطح المكتب(DTG). أصبح من الممكن الآن إضافة عناصر قائمة إلى علبة النظام، مما يتيح تشغيل الإضافات التي تستخدم واجهات التطبيقات الأصلية بطريقة أكثر بديهية.

كالعادة، نوصي بأن تقوم بالتحديث إلى هذا الإصدار. أفضل طريقة للحفاظ على الأمان ومساعدة الشبكة هي تشغيل أحدث إصدار.

التفاصيل

قدّم الترجمة فقط، ولا شيء غير ذلك:

Changes

  • netDb: Throttle bursts of netDB lookups
  • Sybil/Blocklist: Allow users to override blocklist expiration with an interval
  • DTG: Provide an API for extending DTG with a plugin
  • Addressbook: add notbob’s main addressbook to the default subscriptions.
  • Console: Add Ramble and notbob to console homepage

التغييرات

  • Fix replay attack: CVE-2023-36325
  • Implement handling of multihomed routers in the netDb
  • Fully copy new leaseSets when a leaseSet recievedAsPublished overwrites a leaseSet recievedAsReply

القائمة الكاملة بالأخطاء التي تم إصلاحها