Bu sürüm, CVE-2023-36325 için düzeltmeler içerir. CVE-2023-36325, Bloom filtresinde ortaya çıkan bir context-confusion bug (bağlam karışıklığı hatası)dır. Bir saldırgan benzersiz bir messageID içeren bir I2NP mesajı oluşturur ve bu messageID’yi bir istemciye gönderir. Mesaj, Bloom filtresinden geçtikten sonra ikinci bir mesajda yeniden kullanılmasına izin verilmez. Saldırgan daha sonra aynı mesajı doğrudan router’a gönderir. Router mesajı Bloom filtresine iletir ve mesaj atılır. Bu, messageID’nin daha önce görülmüş olduğuna dair bilgiyi sızdırır ve saldırgana router’ın istemciyi barındırdığına inanması için güçlü bir gerekçe verir. Bu, bir mesajın bir client tunnel üzerinden mi, bir exploratory tunnel üzerinden mi geldiğine ya da doğrudan router’a mı gönderildiğine bağlı olarak Bloom filtresinin işlevlerinin farklı bağlamlara ayrılmasıyla düzeltildi. Normal koşullarda, bu saldırının başarıyla gerçekleştirilmesi birkaç gün sürer ve saldırı aşaması sırasında router’ların yeniden başlatılması ve yanlış pozitiflere duyarlılık gibi çeşitli etkenler tarafından karmaşıklaştırılabilir. Java I2P kullanıcılarının saldırıdan kaçınmak için derhal güncelleme yapmaları önerilir.
Bu bağlam karmaşası hatasını düzeltme sürecinde, bu tür sızıntılara karşı defansif kodlamaya yönelik bazı stratejilerimizi gözden geçirdik. Buna netDb üzerinde, hız sınırlama mekanizmalarında ve floodfill routers davranışlarında yapılan ince ayarlar dahildir.
Bu sürüm, not_bob’u ikinci varsayılan hosts sağlayıcısı olarak ekler ve notbob.i2p ile ramble.i2p bağlantılarını konsol ana sayfasına ekler.
Bu sürüm ayrıca ayarlanabilir bir engelleme listesi içerir. Engelleme yarı kalıcıdır; engellenen her bir IP adresi normalde router yeniden başlatılana kadar engelli kalır. Sybil saldırıları sırasında engelleme listesinin patlayıcı biçimde büyüdüğünü gözlemleyen kullanıcılar, engelleme listesini kayıtların belirli bir aralıkta zaman aşımına uğramasını sağlayacak şekilde yapılandırarak daha kısa zaman aşımı sürelerini isteğe bağlı olarak tercih edebilir. Bu özellik varsayılan olarak kapalıdır ve şu anda yalnızca ileri düzey kullanıcılar için önerilmektedir.
Bu sürüm ayrıca eklentilerin Desktop GUI(DTG) (Masaüstü Grafik Kullanıcı Arayüzü) ile bütünleşebilmesi için bir API içerir. Artık sistem tepsisine menü öğeleri eklemek mümkün; bu da yerel uygulama arayüzlerini kullanan eklentilerin daha sezgisel şekilde başlatılmasına olanak tanır.
Her zamanki gibi, bu sürüme güncellemenizi öneriyoruz. Güvenliği korumanın ve ağa yardımcı olmanın en iyi yolu en son sürümü çalıştırmaktır.
Ayrıntılar
Yalnızca çeviriyi sağlayın, başka hiçbir şey değil:
Changes
- netDb: Throttle bursts of netDB lookups
- Sybil/Blocklist: Allow users to override blocklist expiration with an interval
- DTG: Provide an API for extending DTG with a plugin
- Addressbook: add notbob’s main addressbook to the default subscriptions.
- Console: Add Ramble and notbob to console homepage
Değişiklikler
- Fix replay attack: CVE-2023-36325
- Implement handling of multihomed routers in the netDb
- Fully copy new leaseSets when a leaseSet recievedAsPublished overwrites a leaseSet recievedAsReply