A Bitcoin hálózat fejlesztői új biztonsági megoldást alkalmaznak az elavult szoftverek visszaszorítása érdekében
A Bitcoin hálózat fejlesztői új biztonsági politikai intézkedésekkel szeretnék visszaszorítani az elavult szoftverhasználatot.
Az új közzétételi menetrend mostantól kategorizálja a Bitcoin szoftver sebezhetőségeit a hálózat biztonságának és átláthatóságának fokozása érdekében.
Új megoldást használnak a Bitcoin hálózat fejlesztői az elavult szoftverek ellen
A Bitcoin hálózat fejlesztői 10 sebezhetőséget fedtek fel, amelyek hatással lehetnek a Bitcoin kliensszoftver régebbi verzióira. A Bitcoin Optech jelentése szerint ezek a sérülékenységek, bár az újabb kiadásokban már javítva lettek, különféle támadásokat tehetnek lehetővé az elavult Bitcoin Core verziókat futtató csomópontok ellen.
A jelentés pont akkor készült, amikor a fejlesztők bejelentették, hogy új biztonsági közzétételi szabályzatot vezetnek be a Bitcoin hálózatán. A cél az új biztonságpolitikai intézkedéssel, hogy javítsák az átláthatóságot és a kommunikációt a csapat és a Bitcoin nyilvános felhasználói között.
„A projekt eddig rossz munkát végzett a biztonság szempontjából kritikus hibák nyilvános feltárását illetően. Akár külsőleg jelentették, akár a közreműködők találták meg a hibákat. Ez pedig egy olyan helyzethez vezetett, amikor sok felhasználó úgy érzékelheti, hogy a Bitcoin hálózaton soha nem voltak hibák. Ez a felfogás azonban veszélyes és sajnos nem pontos” – áll a közleményben, amit Antoine Poinsot írt a Bitcoin Development levelezőlistájára.
Sokan futattnak még mindig elavult szoftvert
A Liam Wright, a CryptoSlate munkatársa által készített elemzés szerint körülbelül 787 csomópont, vagyis a 14 001 aktív Bitcoin csomópont 5,94%-a 0.21.0-nál régebbi verziót futtat. Ezek a csomópontok bizonyos sérülékenységekre biztosan érzékenyek. A legszélesebb körben elterjedt sérülékenységek a 0.21.0 előtti verziókat érintik. Ez potenciálisan lehetővé teszi a meg nem erősített tranzakciók cenzúráját, és a túlzott időbeállítások miatt hálózati torlódásokat okozhat.
További jelentős sérülékenységek közé tartozik a 0.20.1 előtti verziót futtató 185 csomópontot érintő, kötetlen CPU/memória DoS tiltólistája (CVE-2020-14198), valamint három különálló sebezhetőség, amelyek egyenként 182 csomópontot érintenek a 0.20.0 előtti verziókban. Ide tartoznak a nagy inventory üzenetekből származó memóriát érintő problémák, a hibásan formázott kérésekből származó CPU-pazarló megoldások és a BIP72 URI kérések elemzésekor a memóriával kapcsolatos összeomlások.
A legrégebbi feltárt sebezhetőségek még 2015-ből származnak, de ezek már nagyon kevés elavult szoftvert futtató csomópontot érintenek. Ezek közé tartozik a miniupnpc távoli kódvégrehajtási hibája (CVE-2015-6031) és a nagy üzenetekből származó csomópont-összeomlás (CVE-2015-3641), amelyek mindössze 22, illetve 5 csomópontot érintenek.
Különböző súlyosságú sebezhetőségek vannak
Az új közzétételi rendszer a sebezhetőségeket négy súlyossági szintbe sorolja, és a súlyosság alapján felvázolja a közzétételre vonatkozó konkrét határidőket. A kezdeményezés célja, hogy egyértelmű elvárásokat fogalmazzon meg a biztonsági kutatókkal szemben, és ösztönözze a sebezhetőségek feltárását.
Bár a sérülékeny csomópontok százalékos aránya nem azonnali megoldásért kiáltó kritikus kérdés, a hálózat ezen része mindenképpen biztonsági kockázatot jelent. Ez a közzétételi rendszer különösen kiemeli a jobb kommunikáció és ösztönzők szükségességét, a Bitcoin közösségen belül a gyakoribb szoftverfrissítések ösztönzése és a hálózat általános biztonságának fokozása érdekében. Nevezetesen, a kritikus hibák eseti eljárást igényelnek.
Ez a fokozatos bevezetés a Bitcoin Core 0.21.0-s és korábbi verzióiban javított sebezhetőségek feltárásával kezdődik. Majd az elkövetkező hónapokban a következő verziókban javítják a korábbi sebezhetőségeket.