0.9.14 включает критические исправления уязвимостей XSS и удалённого выполнения кода, о которых сообщила Exodus Intelligence. В качестве дополнительной меры предосторожности мы отключили несколько расширенных функций конфигурации в консоли router, включая установку новых плагинов. Мы планируем повторно включить их в одном из будущих релизов после дополнительной проверки.

Из‑за изменений в библиотеке I2P пользователи I2P-Bote должны обновить свой плагин до версии 0.2.10 для работы с I2P 0.9.14. Ваш router должен автоматически обновить плагин после перезапуска router.

В релиз также вошли несколько исправлений ошибок в i2ptunnel, i2psnark и других областях, а также обновления до последних версий Jetty, Tomcat и Wrapper. Мы также реализовали более быстрый и безопасный метод для reseeding (получения начальных данных сети). Разумеется, есть и привычный набор мелких исправлений ошибок и обновлений переводов.

Вы должны немедленно обновиться до этого релиза. Лучший способ поддерживать безопасность и помогать сети — использовать последнюю версию.

СВЕДЕНИЯ О ВЫПУСКЕ

Security Fixes

  • Fix several XSS issues
  • Disable changing news feed URL from UI
  • Disable plugin install
  • Disable setting unsigned update URL from UI
  • Disable clients.config editing from the UI
  • Add Content-Security-Policy and X-XSS-Protection headers
  • Disable unused ExecNamingService (thx joernchen of Phenoelit)

Исправления уязвимостей

  • Fix tunnel building so it doesn’t get “stuck” on a single pool
  • Reject participating tunnels when hidden
  • Several i2psnark improvements and fixes (GUI and DHT), including changes for better compatibility with Vuze

Исправления ошибок

  • Reseeding now fetches a signed zip file containing router infos for security and speed
  • Use JVM’s AES implementation if it is faster
  • More advanced options shown in the i2ptunnel edit pages
  • Per-message reliabilitiy settings in I2CP and error propagation back from router to client
  • Lots of findbugs fixes and cleanups
  • Support signature types in SAM, bump rev to 3.1
  • New event log page in console
  • Jetty 8.1.15.v20140411
  • Tomcat 6.0.41
  • Wrapper 3.5.25 (new installs and PPA only)
  • Translation updates
  • Update GeoIP data (new installs and PPA only)

SHA256 Checksums:

8e400551866c790e72d14d6f340653cb6e8c4c323cc8124f65200ec38a78aa75  i2pinstall_0.9.14_windows.exe
a3731f5ac0ca1fab4777ec9894e5064a576e9805785027a49850b9857898ef0a  i2pinstall_0.9.14.jar
30bb7bbfd1ff829dab048bbb6264d6cf20b2a01511e7cddd4fc13771feb6a780  i2psource_0.9.14.tar.bz2
404b0e6997474097cf7bd7ca006e59442d502b178dd3dd5de16e26d99a152ceb  i2pupdate_0.9.14.zip
94eb8e05df8b9d95e034810c6132c51634acb3e7f7c9ece8f473af238740a27d  i2pupdate.su2
fe64bfd41710a97bc6b0ceeebd95a99f0c757c6c815e9cf8c6a0c336043add91  i2pupdate.su3
38b1966729e464696c6bace65e38fbdeb0a750f227a9f6b40b30ab498eff83ac  i2pupdate.sud