В этом выпуске содержатся исправления для CVE-2023-36325. CVE-2023-36325 — это уязвимость смешения контекстов, возникшая в фильтре Блума. Злоумышленник формирует сообщение I2NP, содержащее уникальный messageID, и отправляет этот messageID клиенту. Сообщение, после прохождения через фильтр Блума, не допускается к повторному использованию во втором сообщении. Затем злоумышленник отправляет то же сообщение непосредственно на router. Router пропускает сообщение через фильтр Блума, и оно отбрасывается. Это приводит к утечке информации о том, что messageID уже встречался ранее, что дает злоумышленнику веское основание полагать, что этот router размещает клиента. Это было исправлено путем разделения функциональности фильтра Блума на разные контексты в зависимости от того, пришло ли сообщение по клиентскому tunnel, по разведывательному tunnel или было отправлено непосредственно на router. В обычных условиях успешное выполнение этой атаки занимает несколько дней и может осложняться рядом факторов, таких как перезапуски routers в ходе фазы атаки и чувствительность к ложноположительным срабатываниям. Пользователям Java I2P рекомендуется немедленно обновиться, чтобы избежать атаки.
В ходе исправления этой ошибки, связанной с путаницей контекста, мы пересмотрели некоторые наши стратегии защитного программирования против подобных утечек. Это включает корректировки netDb, механизмов ограничения скорости и поведения floodfill routers.
Этот релиз добавляет not_bob в качестве второго поставщика hosts по умолчанию, а также добавляет notbob.i2p и ramble.i2p на главную страницу консоли.
В этот релиз также включён настраиваемый список блокировок. Блокирование имеет полупостоянный характер: каждый заблокированный IP-адрес обычно остаётся заблокированным до перезапуска router. Пользователи, которые наблюдают взрывной рост списка блокировок во время атак типа Sybil, могут включить более короткие тайм-ауты, настроив список блокировок так, чтобы срок действия записей истекал через заданные интервалы. Эта функция по умолчанию отключена и в настоящее время рекомендуется только опытным пользователям.
Этот релиз также включает API, позволяющий плагинам изменять Desktop GUI(DTG). Теперь можно добавлять пункты меню в системный трей, что делает запуск плагинов, использующих нативные интерфейсы приложений, более интуитивным.
Как обычно, мы рекомендуем обновиться до этого релиза. Лучший способ обеспечивать безопасность и помогать сети — запускать последний релиз.
Подробности
Предоставьте ТОЛЬКО перевод, ничего больше:
Changes
- netDb: Throttle bursts of netDB lookups
- Sybil/Blocklist: Allow users to override blocklist expiration with an interval
- DTG: Provide an API for extending DTG with a plugin
- Addressbook: add notbob’s main addressbook to the default subscriptions.
- Console: Add Ramble and notbob to console homepage
Изменения
- Fix replay attack: CVE-2023-36325
- Implement handling of multihomed routers in the netDb
- Fully copy new leaseSets when a leaseSet recievedAsPublished overwrites a leaseSet recievedAsReply