Toto vydání obsahuje opravy pro CVE-2023-36325. CVE-2023-36325 je chyba záměny kontextu, ke které docházelo v Bloomově filtru. Útočník sestaví zprávu I2NP obsahující jedinečný messageID a pošle tento messageID klientovi. Zpráva po průchodu Bloomovým filtrem nesmí být znovu použita ve druhé zprávě. Útočník poté pošle tutéž zprávu přímo na router. Router předá zprávu Bloomovu filtru a ta je zahozena. Tím unikne informace, že daný messageID už byl dříve zaznamenán, což útočníkovi dává silný důvod se domnívat, že router hostuje klienta. To bylo opraveno oddělením funkcionality Bloomova filtru do různých kontextů podle toho, zda zpráva přišla přes klientský tunnel, průzkumný tunnel, nebo byla odeslána přímo na router. Za normálních okolností trvá tento útok úspěšně provést několik dní a jeho provedení může být zkomplikováno několika faktory, jako je restartování routerů během fáze útoku a citlivost na falešně pozitivní výsledky. Uživatelům Java I2P se doporučuje aktualizovat okamžitě, aby se útoku vyhnuli.
Při odstraňování této chyby způsobené záměnou kontextu jsme revidovali některé naše strategie defenzivního programování proti těmto typům úniků. To zahrnuje úpravy netDb, mechanismů omezování rychlosti (rate-limiting) a chování floodfill routers.
Toto vydání přidává not_bob jako druhého výchozího poskytovatele souboru hosts a přidává notbob.i2p a ramble.i2p na domovskou stránku konzole.
Tato verze dále obsahuje nastavitelný blokovací seznam. Blokování je částečně trvalé; každá zablokovaná IP adresa je obvykle blokována až do restartu routeru. Uživatelé, kteří během útoků typu Sybil pozorují prudký růst blokovacího seznamu, se mohou rozhodnout pro kratší časové limity tím, že blokovacímu seznamu nastaví expirování položek po zvoleném intervalu. Tato funkce je ve výchozím nastavení vypnutá a v tuto chvíli je doporučena pouze pokročilým uživatelům.
Toto vydání také obsahuje API umožňující zásuvným modulům upravovat Desktop GUI(DTG). Nyní je možné přidávat položky nabídky do systémové lišty, což umožňuje intuitivnější spouštění zásuvných modulů využívajících nativní aplikační rozhraní.
Jako obvykle doporučujeme, abyste aktualizovali na tuto verzi. Nejlepším způsobem, jak udržovat zabezpečení a pomoci síti, je používat nejnovější verzi.
Podrobnosti
Poskytněte POUZE překlad, nic jiného:
Changes
- netDb: Throttle bursts of netDB lookups
- Sybil/Blocklist: Allow users to override blocklist expiration with an interval
- DTG: Provide an API for extending DTG with a plugin
- Addressbook: add notbob’s main addressbook to the default subscriptions.
- Console: Add Ramble and notbob to console homepage
Změny
- Fix replay attack: CVE-2023-36325
- Implement handling of multihomed routers in the netDb
- Fully copy new leaseSets when a leaseSet recievedAsPublished overwrites a leaseSet recievedAsReply