Caution
本版本包含对 v9.3.0 的重要安全漏洞修复,请您及时更新,并互相转告!
受影响版本:v9.3.0 正式版及其测试版本
Tip
【Synology DSM】群晖用户请注意,由于原合作套件源矿神-SPK7软件源计划停止服务,版本更新速度可能受影响且将在未来将关闭站点。请您添加 PBH-BTN SPK 源,以接替原矿神 SPK 源并继续通过套件中心获取更新:https://spk-repo.pbh-btn.com/nas 谢谢!
Tip
v9.3.1 是 v9.3.0 的补丁版本,请您先阅读 v9.3.0 更新日志。该版本包含较大变更。
【重要!】安全漏洞修补
- 修复因新增的 WebAPI 接口缺少必要的鉴权,恶意攻击者可构造 API 请求发送至 PeerBanHelper OOBE API 接口,执行恶意攻击
- 攻击者可通过安全性弱点,在没有鉴权和速率限制的情况下,使用 PeerBanHelper 向任意地址发起 TCP 连接,或尝试登录目标设备的 PostgreSQL/MySQL 数据库。通过设计的恶意负载,可通过 JDBC 数据库驱动程序执行权限提升、远程代码执行,或者通过此弱点发起拒绝服务攻击
- 攻击者可通过安全性弱点,在没有鉴权和速率限制的情况下,请求 PeerBanHelper 强制配置文件重载。引起 CPU 高占用并对 PeerBanHelper 发起拒绝服务攻击,使速度变慢或停止响应
由于我们的疏忽带来的问题,向所有受影响的用户致以诚挚歉意。
如果您的 PeerBanHelper 已连接 SparkleBTN 网络且处于受到影响的范围内,系统将自动向您发送通知邮件。
优化
- SQLite 现在支持读写池分离,以提高性能 @Ghost-chu
- 进度反作弊模块现在在单 IP 解除封禁时,不再同时重置网段统计数据,以优化反吸血效果 @Ghost-chu
修复
- 修复了执行长/频繁写操作时,因 LIFO 下的线程争用,导致排队的其它线程无法获取 SQLite 数据库连接引发错误的问题 @Ghost-chu
- 拆分了长/频繁写操作为更短更快的小查询 @Ghost-chu
- 修复 GeoCN 数据库执行查询操作时,如果 MMDB 提供了部分字段的空值数据,则可能引发空指针异常的问题 @Ghost-chu
- 修复了正式版报告测试版警告的问题 @Ghost-chu
Docker
DockerHub: ghostchu/peerbanhelper:v9.3.1
阿里云镜像加速: registry.cn-hangzhou.aliyuncs.com/ghostchu/peerbanhelper:v9.3.1