6%的比特币节点运行过时的软件,容易受到攻击

比特币2个月前更新 qkledit
0 0

Bitcoin Optech 报道,比特币核心开发人员过去仅披露过10 个影响旧软件版本的漏洞。这些漏洞已在较新的版本中修复,可能会对运行旧版比特币核心的节点造成各种攻击。

鉴于比特币核心开发人员最近推出了一项新的安全披露政策,以提高有关漏洞的透明度和沟通能力,这些漏洞具有重要意义。从历史上看,该项目因未充分公开披露安全关键漏洞而受到批评,导致人们认为比特币核心没有漏洞。

Libbitcoin 开发人员 Eric Voskuil 在给比特币邮件列表的一条消息中写道,这种看法具有误导性且具有潜在危险,因为它低估了运行过时软件版本的风险。

6%的比特币节点运行过时的软件,容易受到攻击

活跃的比特币节点漏洞

CryptoSlate分析了活跃的比特币节点,以确定目前有多少节点容易受到每种攻击媒介的攻击。14,001个节点中约有 787 个 ( 5.94%)运行的是 0.21.0 之前的版本。

网络仍然安全,能够抵御任何有意义的攻击。然而,这个数字足以被视为比特币社区可能需要解决的问题。可以努力鼓励这些节点运营商升级到较新的版本,以增强比特币网络的整体安全性、效率和未来准备度。

虽然这不是一个迫在眉睫的严重问题,但毫无疑问这是一个值得关注的问题。这对比特币来说并不构成生存威胁,因为大多数网络仍然运行最新的软件。然而,它代表了网络中一个不小的部分,在某些情况下可能会引发问题或被利用。这表明比特币社区需要更好的沟通和激励措施来鼓励更频繁的更新。

根据披露,影响范围最广的漏洞影响 0.21.0 之前的版本,可能影响 787 个节点。此漏洞可能导致对未确认交易的审查,并因时间调整过多而导致网络分裂。

三个独立漏洞影响了 0.20.0 之前的版本,每个漏洞都可能影响 182 个节点。这些漏洞包括来自大型 inv 消息的内存 DoS、来自格式错误的请求的 CPU 浪费 DoS 以及解析 BIP72 URI 时与内存相关的崩溃。

未绑定的禁令列表 CPU/内存 DoS 漏洞 (CVE-2020-14198) 影响了 0.20.1 之前的版本,可能使 185 个节点处于危险之中。早期版本容易受到其他攻击,例如 CPU DoS 和孤块处理导致的节点停顿(0.18.0 之前,影响 70 个节点)以及使用低难度标头的内存 DoS(0.15.0 之前,影响 29 个节点)。

披露的最老的漏洞包括 miniupnpc 中的远程代码执行错误 (CVE-2015-6031),影响 0.11.1 之前的版本,以及大消息节点崩溃 DoS (CVE-2015-3641),影响 0.10.1 之前的版本。这些漏洞分别影响了 22 个和 5 个节点,表明很少有节点仍在运行这种过时的软件。

新的比特币开发者披露政策

新政策将漏洞分为四个严重程度:低、中、高和严重。低严重程度的漏洞很难被利用或影响很小,将在修复版本发布两周后披露,并同时进行预先公告。

中等和高严重程度的漏洞影响更大,将在最后一个受影响版本达到其生命周期结束 (EOL) 后两周披露,通常是修复版本**发布一年后。披露前两周将进行预先公告。威胁网络完整性的严重漏洞将需要临时披露程序。

该政策将逐步实施。Bitcoin Core 0.21.0 及更早版本中修复的所有漏洞将立即披露。7 月份将披露 22.0 版本中修复的漏洞,8 月份将披露 23.0 版本中修复的漏洞。此过程将持续到所有 EOL 版本都得到解决为止。

该计划旨在为安全研究人员设定明确的期望,激励他们发现并负责任地披露漏洞。通过向更广泛的贡献者群体提供安全漏洞,该政策旨在防止未来出现问题并增强比特币网络的整体安全性。

根据比特币开发邮件列表,该政策的逐步采用将允许社区进行调整并就其影响提供反馈。

强烈建议仍在使用受影响版本的节点运营商升级到最新版本以减轻这些潜在风险。

© 版权声明

相关文章

暂无评论

暂无评论...