Zephyr v2.0.1
Zephyr v2.0.1 — 安全修复 & 原子更新 & 订阅管理改进
修复供应链安全漏洞(符号链接攻击、压缩炸弹)、实现核心/Geo/配置文件的原子更新与自动回滚、新增订阅重命名功能。
🔒 修复
- 更新对话框修复:仅客户端有更新时(核心无需更新),更新确认对话框现在正确显示确认/取消按钮
- 符号链接攻击防护:ZIP 解压时跳过符号链接条目,TAR 解压时拒绝符号链接和硬链接条目,防止通过压缩包内的符号链接实现任意文件写入
- 压缩炸弹检测:GZIP 解压时检测可疑压缩比(200:1 阈值),防止资源耗尽攻击
- SSRF 代理路径加固:移除系统代理回退通道,仅保留直连和用户配置的 Mihomo 代理两条下载路径,减少不可信代理的 SSRF 攻击面
- 文件权限失败不再静默:
write_file_secure在 Unix(chmod 0600)和 Windows(DACL 设置)权限设置失败时返回错误,而非静默忽略 - 未验证安装包拒绝打开:客户端更新时若无 SHA256 摘要可用,拒绝打开安装包并删除已下载文件
🛠️ 可靠性提升
- 核心更新原子回滚:
update_core改为原子替换序列(旧二进制 → 备份 → 新二进制 → 启动验证),新核心启动失败时自动回滚到上一版本 - Geo 数据原子更新:
update_geo_data改为原子交换模式(backup → rename),geoip 和 geosite 必须同时成功或同时回滚,避免部分更新导致数据不一致 - 配置文件原子写入:订阅更新采用 temp → backup → target 顺序,metadata 写入失败时自动回滚配置文件到之前的状态
✨ 新功能
- 订阅重命名:右键菜单新增"重命名"选项,支持输入框编辑配置文件名,自动同步
last_config设置 - 重复名称自动后缀:新增订阅时若文件名已存在,自动追加递增数字后缀(
-1、-2...),避免覆盖已有配置 - 智能订阅命名:新增订阅时优先使用服务器 Content-Disposition 头部文件名,其次从规则中提取第一个策略组名称,最后回退到 URL 派生名称
📦 下载说明
请根据您的操作系统选择对应版本(full 版本含所有依赖,lite 版本体积更小):
| 平台 | Full 版本 | Lite 版本 |
|---|---|---|
| Windows (x64) | Zephyr_2.0.1_x64-setup-full.exe |
Zephyr_2.0.1_x64-setup-lite.exe |
| Windows (x64 MSI) | Zephyr_2.0.1_x64_zh-CN-full.msi |
Zephyr_2.0.1_x64_zh-CN-lite.msi |
| macOS (Apple Silicon) | Zephyr_2.0.1_aarch64-full.dmg |
Zephyr_2.0.1_aarch64-lite.dmg |
| macOS (Intel x64) | Zephyr_2.0.1_x64-full.dmg |
Zephyr_2.0.1_x64-lite.dmg |
| Linux (deb, amd64) | Zephyr_2.0.1_amd64-full.deb |
Zephyr_2.0.1_amd64-lite.deb |
| Linux (AppImage, amd64) | Zephyr_2.0.1_amd64-full.AppImage |
Zephyr_2.0.1_amd64-lite.AppImage |
| Linux (RPM, x86_64) | Zephyr-2.0.1-1.x86_64-full.rpm |
Zephyr-2.0.1-1.x86_64-lite.rpm |
⚠️ 免责声明:本项目由 AI 开发,安全性和性能尚未经充分验证,请自行评估使用风险。如发现安全问题或 Bug,欢迎提交 Issue。