Skip to content

7.1.0 - 重要安全修复

Compare
Choose a tag to compare
@Ghost-chu Ghost-chu released this 06 Nov 12:55
· 89 commits to release since this release
0ff1c09

此版本已被更新版本取代。

Caution

本版包含重要安全修复,不管出于任何理由,您都应该更新到此修复版本。

关键安全性修复

  • 【重要】修复了因错误使用 ORM 框架导致潜在 SQL 注入的问题 @Ghost-chu @paulzzh
    • 恶意攻击者可通过在查询参数中插入 SQL 片段,执行任意 SQL 查询
  • 【重要】修复了登录接口的 POST 登陆方式没有覆盖暴力破解防护的问题 @Ghost-chu
    • 恶意攻击者可能对登录接口发起暴力破解穷举 WebUI Token 以获取 WebUI 访问权限,并间接获取连接的下载器的 WebUI 权限
  • 添加了 robots.txt 并拒绝任何搜索引擎索引并避免在搜索引擎中暴露,但依然可能被 Censys 等网络空间测绘引擎发现,建议使用防火墙保护 @Ghost-chu
    • 如果 PBH 部署在二级目录下,请自行管理 robots.txt
  • 仅在登录阶段传递 Token,避免明文 WebUI Token 泄露

新功能

  • 图表数据现在支持分下载器查看 @Gaojianli @Ghost-chu @paulzzh
  • WebUI 现在支持自定义脚本编辑 @Gaojianli @Ghost-chu
    • 通过编程的方式构建自己的反吸血逻辑
    • 只有在局域网内直接访问 WebUI 才能添加和编辑脚本;通过互联网或者反向代理访问时,仅能查看脚本,不可添加修改编辑
    • 安全警告:自定义脚本可执行任意代码,请仅添加来自可信来源的脚本
  • 【重要】BTN 新增 “脚本规则” 规则类型,PeerBanHelper 现在可接收来自 BTN 服务器下发的脚本以提升基于云的检测防护能力,提高封禁的灵活和精确性 @Ghost-chu
    • 需要手动在 “设置->基础设置->BTN” 开启 “启用脚本执行” 开关,此功能才会生效。请仅在可信 BTN 服务器上启用此功能。
  • WebUI 现在可以进行堆内存转储 @Gaojianli
  • BTN 能力列表页面现在可查看云端规则数量和规则版本号 @Gaojianli @Ghost-chu
  • 其它用户体验改善

错误修复

  • 【重要】优化了 IPMatcher 的CPU和内存占用,解决了困扰已久的规则过多时内存溢出的问题并大幅缩短了匹配 IP 时的 CPU 占用和匹配耗时,现在空载内存仅需要 92MB(GUI) @Ghost-chu @paulzzh
    • 请注意:自 2024/11/06 后,旧版本(< 7.1.0) PBH 可能由于 IP 屏蔽列表的增长而耗尽内存,为了保证正常运行,请升级版本或者更改其最大堆内存
  • 修复了当添加支持完整 PeerID 的下载器(如:BiglyBT/Azureus/Vuze、BitComet 或者 Deluge)时,查看 PeerID 饼图时完全不可读的问题 @Ghost-chu
  • Windows GUI 的打开 WebUI 按钮现在能够自动填充 token 登录 WebUI

Docker

DockerHub: ghostchu/peerbanhelper:v7.1.0
阿里云国内镜像加速: registry.cn-hangzhou.aliyuncs.com/ghostchu/peerbanhelper:v7.1.0

本版已知问题

  • 流量图表可能显示为空