• Publicado: 2014-07-26
  • Autor: zzz
  • Publicado en release

0.9.14 incluye reparaciones críticas de seguridad para XSS y vulnerabilidades de ejecución remota reveladas por Exodus Intelligence. Como precaución añadida, hemos deshabilitado varias características de configuración avanzadas en la consola del router, incluyendo la instalación de nuevos complementos (plugins). Planeamos volver a habilitar estas características en una futura versión después de revisión adicional.

Debido a cambios en la librería I2P, los usuarios de I2P-Bote tienen que actualizar su complemento a la versión 0.2.10 para que funcione con I2P 0.9.14. Después de reiniciarse, su router debería actualizar automáticamente el complemento.

La versión también contiene varias reparaciones de fallos en i2ptunnel, i2psnark, y otras áreas, y actualizaciones a los últimos Jetty, Tomcat, y Wrapper. También hemos implementado una método más rápido y seguro para el resembrado. Por supuesto, también está la colección habitual de reparaciones de fallos menores y actualizaciones de traducción.

Tiene que actualizar a esta versión inmediatamente. La mejor manera de mantener la seguridad y ayudar a la red es ejecutar la última versión.

DETALLES DEL LANZAMIENTO

Reparaciones de seguridad

  • Reparavarios problemas de XSS
  • Deshabilitar el cambio de la URL de subscripción (feed) de noticias desde la interfaz de usuario (UI)
  • Deshabilita la instalación de complementos
  • Deshabilita la configuración de una URL de actualización no firmada desde la interfaz de usuario
  • Deshabilita la edición de clients.config desde la interfaz de usuario
  • Añade las cabeceras HTTP Content-Security-Policy y X-XSS-Protection
  • Deshabilita ExecNamingService sin uso (gracias a joernchen de Phenoelit)

Correcciones de errores

  • Repara la construcción de túnel para que no se quede "estancada" en un sólo depósito (pool)
  • Rechaza los túneles participantes cuando esté oculto
  • Varias mejoras de i2psnark y repara (GUI y DHT), incluyendo cambios para una mejor compatibilidad con Vuze

Otro

  • Resembrado (reseeding) ahora descarga un fichero zip firmado que contiene las informaciones para seguridad y velocidad del router
  • Usa la implementación AES de la maquina virtual de Java (JVM) si es más rápida
  • Más opciones avanzadas mostradas en las páginas de edición de i2ptunnel
  • Configuraciones de fiabilidad por-mensaje en I2CP, y de propagación de errores de vuelta desde el router I2P al cliente.
  • Muchas reparaciones de fallos FindBugs y aseamientos
  • Soporta los tipos de firmas en SAM, salta de revisión hasta la 3.1
  • Nueva página de registro (log) de eventos en la consola
  • Jetty 8.1.15.v20140411
  • Tomcat 6.0.41
  • Wrapper 3.5.25 (sólo nuevas instalaciones y archivos PPA)
  • Actualizaciones de traducción
  • Actualizar datos de geolocalización IP (Sólo PPA y nuevas instalaciones)

Sumas de comprobación SHA256:

8e400551866c790e72d14d6f340653cb6e8c4c323cc8124f65200ec38a78aa75  i2pinstall_0.9.14_windows.exe
a3731f5ac0ca1fab4777ec9894e5064a576e9805785027a49850b9857898ef0a  i2pinstall_0.9.14.jar
30bb7bbfd1ff829dab048bbb6264d6cf20b2a01511e7cddd4fc13771feb6a780  i2psource_0.9.14.tar.bz2
404b0e6997474097cf7bd7ca006e59442d502b178dd3dd5de16e26d99a152ceb  i2pupdate_0.9.14.zip
94eb8e05df8b9d95e034810c6132c51634acb3e7f7c9ece8f473af238740a27d  i2pupdate.su2
fe64bfd41710a97bc6b0ceeebd95a99f0c757c6c815e9cf8c6a0c336043add91  i2pupdate.su3
38b1966729e464696c6bace65e38fbdeb0a750f227a9f6b40b30ab498eff83ac  i2pupdate.sud