• Размещено: 2014-07-26
  • Автор: zzz
  • Опубликовано в release

В версию 0.9.14 включены критические исправления уязвимостей XSS и удаленного выполнения, о которых сообщили Exodus Intelligence. В качестве дополнительных мер предосторожности мы отключили несколько расширенных настроек в консоли маршрутизатора, в том числе установку новых плагинов. Мы планируем снова включить эти возможности в будущей версии после дополнительной проверки.

В связи с изменениями в библиотеке I2P пользователям I2PBote необходимо обновить плагин до версии 0.2.10 для работы с I2P 0.9.14. Ваш маршрутизатор должен обновить плагин автоматически после перезагрузки.

Релиз также содержит несколько исправлений в i2ptunnel, i2psnark и др., а также обновления до последней версии Jetty, Tomcat, Wrapper. Мы также реализовали более быстрый и безопасный метод для начальной загрузки. Конечно, также присутствует обычный набор небольших исправлений ошибок и обновлений переводов.

Вам необходимо немедленно обновиться до этой версии. Лучший способ оставаться в безопасности и помогать сети — использовать последнюю версию.

ПОДРОБНОСТИ РЕЛИЗА

Исправления безопасности

  • Исправлены несколько XSS
  • Отключено изменение URL ленты новостей из пользовательского интерфейса
  • Отключена установка плагинов
  • Отключена установка неподписанного адреса обновлений из интерфейса пользователя
  • Отключить редактирование clients.config из пользовательского интерфейса
  • Добавлена политика безопасности контента и заголовки X-XSS-Protection
  • Отключен неиспользуемый ExecNamingService (спасибо joernchen из Phenoelit)

Исправлены ошибки

  • Исправление в создании туннелей - теперь они не закреплены в едином пуле
  • Отклонять транзитные туннели в скрытом режиме
  • Несколько улучшений и исправлений в i2psnark (интерфейс и DHT), включая изменения для лучшей совместимости с Vuze

Другое

  • При начальной загрузке для обеспечения безопасности и увеличения скорости теперь принимается подписанный zip-файл, содержащий информацию о маршрутизаторах
  • Использовать реализацию AES на JVM, если это быстрее
  • Добавлено больше дополнительных настроек на странице i2ptunnel/edit
  • Установки и ошибки надёжности i2CP на уровне сообщений доводятся маршрутизатором до клиента
  • Код "почищен" и исправлены ошибки, найденные с помощью findbugs
  • Поддержка параметра SIGNATURE_TYPE в SAM, номер версии увеличен до 3.1
  • Новая страница журнала событий в консоли
  • Jetty 8.1.15.v20140411
  • Tomcat 6.0.41
  • Wrapper 3.5.25 (только новые установки и PPA)
  • Обновления переводов
  • Обновлены данные GeoIP (для новых инсталляций и PPA)

Контрольные суммы SHA256

8e400551866c790e72d14d6f340653cb6e8c4c323cc8124f65200ec38a78aa75  i2pinstall_0.9.14_windows.exe
a3731f5ac0ca1fab4777ec9894e5064a576e9805785027a49850b9857898ef0a  i2pinstall_0.9.14.jar
30bb7bbfd1ff829dab048bbb6264d6cf20b2a01511e7cddd4fc13771feb6a780  i2psource_0.9.14.tar.bz2
404b0e6997474097cf7bd7ca006e59442d502b178dd3dd5de16e26d99a152ceb  i2pupdate_0.9.14.zip
94eb8e05df8b9d95e034810c6132c51634acb3e7f7c9ece8f473af238740a27d  i2pupdate.su2
fe64bfd41710a97bc6b0ceeebd95a99f0c757c6c815e9cf8c6a0c336043add91  i2pupdate.su3
38b1966729e464696c6bace65e38fbdeb0a750f227a9f6b40b30ab498eff83ac  i2pupdate.sud