La version 0.9.14 comprend des correctifs critiques pour des vulnérabilités XSS et d’exécution à distance signalées par Exodus Intelligence. Par mesure de précaution supplémentaire, nous avons désactivé plusieurs fonctionnalités de configuration avancées dans la console du router, y compris l’installation de nouveaux plugins. Nous prévoyons de les réactiver dans une version ultérieure après un examen complémentaire.

En raison de modifications de la bibliothèque I2P, les utilisateurs d’I2P-Bote doivent mettre à niveau leur plugin vers la version 0.2.10 pour fonctionner avec I2P 0.9.14. Votre router devrait mettre à jour le plugin automatiquement après le redémarrage du router.

La version contient également plusieurs corrections de bogues dans i2ptunnel, i2psnark et d’autres domaines, ainsi que des mises à jour vers les dernières versions de Jetty, Tomcat et Wrapper. Nous avons également implémenté une méthode de réensemencement plus rapide et plus sécurisée. Bien sûr, il y a aussi l’habituelle série de petites corrections de bogues et des mises à jour de traductions.

Vous devez mettre à jour vers cette version immédiatement. La meilleure façon de maintenir la sécurité et d’aider le réseau est d’exécuter la dernière version.

DÉTAILS DE LA VERSION

Security Fixes

  • Fix several XSS issues
  • Disable changing news feed URL from UI
  • Disable plugin install
  • Disable setting unsigned update URL from UI
  • Disable clients.config editing from the UI
  • Add Content-Security-Policy and X-XSS-Protection headers
  • Disable unused ExecNamingService (thx joernchen of Phenoelit)

Correctifs de sécurité

  • Fix tunnel building so it doesn’t get “stuck” on a single pool
  • Reject participating tunnels when hidden
  • Several i2psnark improvements and fixes (GUI and DHT), including changes for better compatibility with Vuze

Corrections de bogues

  • Reseeding now fetches a signed zip file containing router infos for security and speed
  • Use JVM’s AES implementation if it is faster
  • More advanced options shown in the i2ptunnel edit pages
  • Per-message reliabilitiy settings in I2CP and error propagation back from router to client
  • Lots of findbugs fixes and cleanups
  • Support signature types in SAM, bump rev to 3.1
  • New event log page in console
  • Jetty 8.1.15.v20140411
  • Tomcat 6.0.41
  • Wrapper 3.5.25 (new installs and PPA only)
  • Translation updates
  • Update GeoIP data (new installs and PPA only)

SHA256 Checksums:

8e400551866c790e72d14d6f340653cb6e8c4c323cc8124f65200ec38a78aa75  i2pinstall_0.9.14_windows.exe
a3731f5ac0ca1fab4777ec9894e5064a576e9805785027a49850b9857898ef0a  i2pinstall_0.9.14.jar
30bb7bbfd1ff829dab048bbb6264d6cf20b2a01511e7cddd4fc13771feb6a780  i2psource_0.9.14.tar.bz2
404b0e6997474097cf7bd7ca006e59442d502b178dd3dd5de16e26d99a152ceb  i2pupdate_0.9.14.zip
94eb8e05df8b9d95e034810c6132c51634acb3e7f7c9ece8f473af238740a27d  i2pupdate.su2
fe64bfd41710a97bc6b0ceeebd95a99f0c757c6c815e9cf8c6a0c336043add91  i2pupdate.su3
38b1966729e464696c6bace65e38fbdeb0a750f227a9f6b40b30ab498eff83ac  i2pupdate.sud