Esta versión incluye correcciones para CVE-2023-36325. CVE-2023-36325 es un error de confusión de contexto que ocurría en el filtro Bloom. Un atacante crea un mensaje I2NP que contiene un messageID único y envía ese messageID a un cliente. El mensaje, después de pasar por el filtro Bloom, no se permite que se reutilice en un segundo mensaje. Luego, el atacante envía el mismo mensaje directamente al router. El router pasa el mensaje al filtro Bloom y este es descartado. Esto filtra la información de que el messageID ya se ha visto antes, lo que da al atacante un motivo sólido para creer que el router está alojando al cliente. Esto se ha corregido separando la funcionalidad del filtro Bloom en diferentes contextos según si un mensaje llegó por un tunnel de cliente, por un tunnel exploratorio o se envió directamente al router. En circunstancias normales, este ataque tarda varios días en ejecutarse con éxito y puede verse afectado por varios factores, como el reinicio de routers durante la fase del ataque y la sensibilidad a falsos positivos. Se recomienda a los usuarios de Java I2P actualizar de inmediato para evitar el ataque.
En el transcurso de corregir este error de confusión de contexto, hemos revisado algunas de nuestras estrategias para programar de forma defensiva contra este tipo de filtraciones. Esto incluye ajustes a la netDb, los mecanismos de limitación de tasa y el comportamiento de los routers floodfill.
Esta versión añade a not_bob como segundo proveedor de hosts predeterminado y añade notbob.i2p y ramble.i2p a la página de inicio de la consola.
Esta versión también incluye una lista de bloqueo ajustable. El bloqueo es semipermanente; cada dirección IP bloqueada normalmente permanece bloqueada hasta que se reinicia el router. Los usuarios que observen un crecimiento explosivo de la lista de bloqueo durante ataques Sybil pueden optar por tiempos de expiración más cortos configurando la lista de bloqueo para que las entradas caduquen a intervalos. Esta función está desactivada de forma predeterminada y, por ahora, solo se recomienda para usuarios avanzados.
Esta versión también incluye una API para que los plugins (complementos) puedan modificar con el Desktop GUI(DTG). Ahora es posible añadir elementos de menú a la bandeja del sistema, lo que permite iniciar de forma más intuitiva los plugins que usan interfaces de aplicación nativas.
Como de costumbre, recomendamos actualizar a esta versión. La mejor manera de mantener la seguridad y ayudar a la red es ejecutar la versión más reciente.
Detalles
Changes
- netDb: Throttle bursts of netDB lookups
- Sybil/Blocklist: Allow users to override blocklist expiration with an interval
- DTG: Provide an API for extending DTG with a plugin
- Addressbook: add notbob’s main addressbook to the default subscriptions.
- Console: Add Ramble and notbob to console homepage
Cambios
- Fix replay attack: CVE-2023-36325
- Implement handling of multihomed routers in the netDb
- Fully copy new leaseSets when a leaseSet recievedAsPublished overwrites a leaseSet recievedAsReply