Esta versão contém correções para a CVE-2023-36325. A CVE-2023-36325 é uma vulnerabilidade de confusão de contexto que ocorria no filtro de Bloom. Um atacante elabora uma mensagem I2NP contendo um messageID exclusivo e envia esse messageID a um cliente. A mensagem, após passar pelo filtro de Bloom, não pode ser reutilizada numa segunda mensagem. O atacante então envia a mesma mensagem diretamente ao router. O router encaminha a mensagem ao filtro de Bloom, e ela é descartada. Isso vaza a informação de que o messageID já foi visto antes, dando ao atacante um forte motivo para acreditar que o router está a hospedar o cliente. Isso foi corrigido separando a funcionalidade do filtro de Bloom em diferentes contextos, com base em se uma mensagem veio por um tunnel de cliente, um tunnel exploratório, ou foi enviada diretamente ao router. Em circunstâncias normais, este ataque demora vários dias a ser executado com sucesso e pode ser dificultado por vários fatores, como routers a reiniciar durante a fase do ataque e sensibilidade a falsos positivos. Recomenda-se que os utilizadores do Java I2P atualizem imediatamente para evitar o ataque.
Durante a correção desse bug de confusão de contexto, revisamos algumas de nossas estratégias para codificar de forma defensiva contra esses tipos de vazamentos. Isso inclui ajustes no netDb, nos mecanismos de limitação de taxa e no comportamento dos floodfill routers.
Esta versão adiciona o not_bob como um segundo provedor de hosts padrão e acrescenta notbob.i2p e ramble.i2p à página inicial do console.
Esta versão também inclui uma lista de bloqueio ajustável. A inclusão na lista de bloqueio é semipermanente; cada endereço IP bloqueado permanece bloqueado normalmente até que o router seja reiniciado. Usuários que observarem um crescimento explosivo da lista de bloqueio durante ataques Sybil podem optar por tempos limite mais curtos, configurando a lista de bloqueio para que as entradas expirem após um determinado intervalo. Esse recurso vem desativado por padrão e, no momento, é recomendado apenas para usuários avançados.
Esta versão também inclui uma API para que plugins sejam modificados por meio do Desktop GUI (DTG). Agora é possível adicionar itens de menu à bandeja do sistema, permitindo iniciar, de forma mais intuitiva, plugins que usam interfaces nativas de aplicação.
Como de costume, recomendamos que você atualize para esta versão. A melhor forma de manter a segurança e ajudar a rede é executar a versão mais recente.
Detalhes
Forneça SOMENTE a tradução, nada mais:
Changes
- netDb: Throttle bursts of netDB lookups
- Sybil/Blocklist: Allow users to override blocklist expiration with an interval
- DTG: Provide an API for extending DTG with a plugin
- Addressbook: add notbob’s main addressbook to the default subscriptions.
- Console: Add Ramble and notbob to console homepage
Alterações
- Fix replay attack: CVE-2023-36325
- Implement handling of multihomed routers in the netDb
- Fully copy new leaseSets when a leaseSet recievedAsPublished overwrites a leaseSet recievedAsReply