इस रिलीज़ में CVE-2023-36325 के लिए फिक्स शामिल हैं। CVE-2023-36325 एक context-confusion बग है जो Bloom filter (ब्लूम फ़िल्टर) में हुआ। एक हमलावर एक I2NP संदेश तैयार करता है जिसमें एक अद्वितीय messageID होता है, और उस messageID को किसी क्लाइंट को भेजता है। Bloom filter से गुजरने के बाद, वही messageID किसी दूसरे संदेश में दोबारा इस्तेमाल करने की अनुमति नहीं रहती। फिर हमलावर वही संदेश सीधे router को भेजता है। router संदेश को Bloom filter को पास करता है, और वह ड्रॉप कर दिया जाता है। इससे यह जानकारी लीक होती है कि वह messageID पहले देखा जा चुका है, जो हमलावर को यह मानने का मजबूत आधार देता है कि router उस क्लाइंट को होस्ट कर रहा है। इसे ठीक करने के लिए Bloom filter की कार्यक्षमता को अलग-अलग संदर्भों में विभाजित किया गया है, इस आधार पर कि संदेश client tunnel से आया, exploratory tunnel से आया, या सीधे router को भेजा गया।
सामान्य परिस्थितियों में, यह हमला सफल होने में कई दिन लगते हैं और कई कारकों से प्रभावित हो सकता है, जैसे हमले के चरण में routers का रीस्टार्ट होना और फ़ॉल्स-पॉज़िटिव्स के प्रति संवेदनशीलता। Java I2P के उपयोगकर्ताओं को सलाह दी जाती है कि वे इस हमले से बचने के लिए तुरंत अपडेट करें।
इस संदर्भ-भ्रम बग को ठीक करने की प्रक्रिया के दौरान, हमने ऐसे प्रकार के लीक के विरुद्ध रक्षात्मक तरीके से कोड लिखने के लिए अपनी कुछ रणनीतियों में संशोधन किया है। इसमें netDb, रेट-लिमिटिंग तंत्र, और floodfill routers के व्यवहार में कुछ बदलाव शामिल हैं।
यह रिलीज़ not_bob को दूसरे डिफ़ॉल्ट hosts प्रदाता के रूप में जोड़ती है, और कंसोल मुखपृष्ठ पर notbob.i2p और ramble.i2p जोड़ती है।
इस रिलीज़ में एक अनुकूलनयोग्य ब्लॉकलिस्ट भी शामिल है। ब्लॉकलिस्टिंग अर्ध-स्थायी होती है; प्रत्येक अवरुद्ध IP पता सामान्यतः तब तक अवरुद्ध रहता है जब तक router पुनरारंभ नहीं किया जाता। जो उपयोगकर्ता Sybil हमलों के दौरान ब्लॉकलिस्ट में विस्फोटक वृद्धि देखते हैं, वे ब्लॉकलिस्ट को एक अंतराल पर प्रविष्टियाँ समाप्त करने के लिए कॉन्फ़िगर करके छोटे टाइमआउट चुन सकते हैं। यह सुविधा डिफ़ॉल्ट रूप से बंद रहती है और फिलहाल केवल उन्नत उपयोगकर्ताओं के लिए अनुशंसित है।
इस रिलीज़ में Desktop GUI(DTG) को संशोधित करने हेतु प्लगइन्स के लिए एक API भी शामिल है। अब सिस्टम ट्रे में मेनू आइटम जोड़ना संभव है, जिससे नेटिव एप्लिकेशन इंटरफेस का उपयोग करने वाले प्लगइन्स को अधिक सहज तरीके से लॉन्च किया जा सके।
हमेशा की तरह, हम अनुशंसा करते हैं कि आप इस रिलीज़ में अपडेट करें। सुरक्षा बनाए रखने और नेटवर्क की मदद करने का सबसे अच्छा तरीका नवीनतम रिलीज़ चलाना है।
विवरण
Changes
- netDb: Throttle bursts of netDB lookups
- Sybil/Blocklist: Allow users to override blocklist expiration with an interval
- DTG: Provide an API for extending DTG with a plugin
- Addressbook: add notbob’s main addressbook to the default subscriptions.
- Console: Add Ramble and notbob to console homepage
परिवर्तन
- Fix replay attack: CVE-2023-36325
- Implement handling of multihomed routers in the netDb
- Fully copy new leaseSets when a leaseSet recievedAsPublished overwrites a leaseSet recievedAsReply