В версию 0.9.14 включены критические исправления уязвимостей XSS и удаленного выполнения, о которых сообщили Exodus Intelligence. В качестве дополнительных мер предосторожности мы отключили несколько расширенных настроек в консоли маршрутизатора, в том числе установку новых плагинов. Мы планируем снова включить эти возможности в будущей версии после дополнительной проверки.
В связи с изменениями в библиотеке I2P пользователям I2PBote необходимо обновить плагин до версии 0.2.10 для работы с I2P 0.9.14. Ваш маршрутизатор должен обновить плагин автоматически после перезагрузки.
Релиз также содержит несколько исправлений в i2ptunnel, i2psnark и др., а также обновления до последней версии Jetty, Tomcat, Wrapper. Мы также реализовали более быстрый и безопасный метод для начальной загрузки. Конечно, также присутствует обычный набор небольших исправлений ошибок и обновлений переводов.
Вам необходимо немедленно обновиться до этой версии. Лучший способ оставаться в безопасности и помогать сети — использовать последнюю версию.
ПОДРОБНОСТИ РЕЛИЗА
Исправления безопасности
- Исправлены несколько XSS
- Отключено изменение URL ленты новостей из пользовательского интерфейса
- Отключена установка плагинов
- Отключена установка неподписанного адреса обновлений из интерфейса пользователя
- Отключить редактирование clients.config из пользовательского интерфейса
- Добавлена политика безопасности контента и заголовки X-XSS-Protection
- Отключен неиспользуемый ExecNamingService (спасибо joernchen из Phenoelit)
Исправлены ошибки
- Исправление в создании туннелей - теперь они не закреплены в едином пуле
- Отклонять транзитные туннели в скрытом режиме
- Несколько улучшений и исправлений в i2psnark (интерфейс и DHT), включая изменения для лучшей совместимости с Vuze
Другое
- При начальной загрузке для обеспечения безопасности и увеличения скорости теперь принимается подписанный zip-файл, содержащий информацию о маршрутизаторах
- Использовать реализацию AES на JVM, если это быстрее
- Добавлено больше дополнительных настроек на странице i2ptunnel/edit
- Установки и ошибки надёжности i2CP на уровне сообщений доводятся маршрутизатором до клиента
- Код "почищен" и исправлены ошибки, найденные с помощью findbugs
- Поддержка параметра SIGNATURE_TYPE в SAM, номер версии увеличен до 3.1
- Новая страница журнала событий в консоли
- Jetty 8.1.15.v20140411
- Tomcat 6.0.41
- Wrapper 3.5.25 (только новые установки и PPA)
- Обновления переводов
- Обновлены данные GeoIP (для новых инсталляций и PPA)
Контрольные суммы SHA256
8e400551866c790e72d14d6f340653cb6e8c4c323cc8124f65200ec38a78aa75 i2pinstall_0.9.14_windows.exe a3731f5ac0ca1fab4777ec9894e5064a576e9805785027a49850b9857898ef0a i2pinstall_0.9.14.jar 30bb7bbfd1ff829dab048bbb6264d6cf20b2a01511e7cddd4fc13771feb6a780 i2psource_0.9.14.tar.bz2 404b0e6997474097cf7bd7ca006e59442d502b178dd3dd5de16e26d99a152ceb i2pupdate_0.9.14.zip 94eb8e05df8b9d95e034810c6132c51634acb3e7f7c9ece8f473af238740a27d i2pupdate.su2 fe64bfd41710a97bc6b0ceeebd95a99f0c757c6c815e9cf8c6a0c336043add91 i2pupdate.su3 38b1966729e464696c6bace65e38fbdeb0a750f227a9f6b40b30ab498eff83ac i2pupdate.sud