Bản phát hành này bao gồm các bản sửa lỗi cho CVE-2023-36325. CVE-2023-36325 là một lỗi nhầm lẫn ngữ cảnh xảy ra trong bộ lọc Bloom. Kẻ tấn công tạo một I2NP message chứa một messageID duy nhất và gửi messageID đó đến một máy khách. Thông điệp này, sau khi đi qua bộ lọc Bloom, sẽ không được phép tái sử dụng messageID trong một thông điệp thứ hai. Sau đó kẻ tấn công gửi cùng thông điệp đó trực tiếp đến router. Router chuyển thông điệp đến bộ lọc Bloom, và nó bị loại bỏ. Điều này làm rò rỉ thông tin rằng messageID đã từng được thấy trước đó, khiến kẻ tấn công có lý do mạnh mẽ để tin rằng router đang phục vụ máy khách. Sự cố này đã được khắc phục bằng cách tách chức năng của bộ lọc Bloom thành các ngữ cảnh khác nhau dựa trên việc một thông điệp đi xuống một client tunnel, một exploratory tunnel, hoặc được gửi trực tiếp đến router. Trong điều kiện bình thường, cuộc tấn công này mất vài ngày để thực hiện thành công và có thể bị gây nhiễu bởi một số yếu tố như các router khởi động lại trong giai đoạn tấn công và độ nhạy với các trường hợp dương tính giả. Khuyến nghị người dùng Java I2P cập nhật ngay lập tức để tránh cuộc tấn công.
Trong quá trình khắc phục lỗi nhầm lẫn ngữ cảnh này, chúng tôi đã điều chỉnh một số chiến lược để viết mã theo hướng phòng thủ nhằm chống lại các dạng rò rỉ như vậy. Điều này bao gồm các tinh chỉnh đối với netDb, các cơ chế giới hạn tốc độ, và hành vi của floodfill routers.
Bản phát hành này bổ sung not_bob như một nhà cung cấp hosts mặc định thứ hai, và thêm notbob.i2p và ramble.i2p vào trang chủ bảng điều khiển.
Bản phát hành này cũng bao gồm một danh sách chặn có thể điều chỉnh. Việc đưa vào danh sách chặn mang tính bán vĩnh viễn, mỗi địa chỉ IP bị chặn thông thường sẽ bị chặn cho đến khi router được khởi động lại. Người dùng quan sát thấy danh sách chặn tăng trưởng bùng nổ trong các cuộc tấn công Sybil có thể chọn thời gian chờ ngắn hơn bằng cách cấu hình danh sách chặn để các mục hết hạn theo một khoảng thời gian. Tính năng này mặc định tắt và hiện chỉ được khuyến nghị cho người dùng nâng cao.
Bản phát hành này cũng bao gồm một API để các plugin (phần bổ trợ) tích hợp với Desktop GUI(DTG). Giờ đây có thể thêm các mục menu vào khay hệ thống, giúp việc khởi chạy các plugin sử dụng native application interfaces (giao diện ứng dụng gốc) trở nên trực quan hơn.
Như thường lệ, chúng tôi khuyến nghị bạn cập nhật lên bản phát hành này. Cách tốt nhất để duy trì bảo mật và hỗ trợ mạng là chạy bản phát hành mới nhất.
Chi tiết
Chỉ cung cấp bản dịch, không thêm gì khác:
Changes
- netDb: Throttle bursts of netDB lookups
- Sybil/Blocklist: Allow users to override blocklist expiration with an interval
- DTG: Provide an API for extending DTG with a plugin
- Addressbook: add notbob’s main addressbook to the default subscriptions.
- Console: Add Ramble and notbob to console homepage
Các thay đổi
- Fix replay attack: CVE-2023-36325
- Implement handling of multihomed routers in the netDb
- Fully copy new leaseSets when a leaseSet recievedAsPublished overwrites a leaseSet recievedAsReply