本站 消息,9 月 20 日,據(jù) Protos 報(bào)道,Bitcoin Core 開發(fā)人員發(fā)布了一個(gè)新的高危警告,稱每六個(gè)比特幣節(jié)點(diǎn)中就有一個(gè)存在軟件漏洞。周四,負(fù)責(zé)維護(hù)在超過 98% 的可達(dá)全節(jié)點(diǎn)上運(yùn)行的軟件的開源 Bitcoin Core 項(xiàng)目的工作人員披露,運(yùn)行在網(wǎng)絡(luò) 17% 節(jié)點(diǎn)上的軟件存在重大安全問題。具體而言,所有低于 Bitcoin Core 版本 24.0.1 的軟件均存在風(fēng)險(xiǎn)。根據(jù) Bitnodes 的監(jiān)控估算,這個(gè)拒絕服務(wù)漏洞影響了可訪問的比特幣完整節(jié)點(diǎn)的 19,200 個(gè)自稱用戶代理中的大約 3,330 個(gè)。
在 24.0.1 版本之前的 Bitcoin Core 軟件中,惡意行為者可以使用低難度的 header 鏈向節(jié)點(diǎn)發(fā)送垃圾郵件。通過強(qiáng)制節(jié)點(diǎn)下載和存儲極長的 header 鏈,攻擊可能會通過占用過多帶寬或設(shè)備存儲空間使節(jié)點(diǎn)崩潰。開發(fā)人員在 Bitcoin Core 拉取請求(PR)編號 25717 中修復(fù)了這個(gè)漏洞,并在 2022 年 12 月 12 日隨著 v24.0.1 版本的發(fā)布將其合并到生產(chǎn)中。當(dāng)前的 Bitcoin Core 節(jié)點(diǎn)軟件版本(現(xiàn)為 27.1)包含此漏洞和其他漏洞的修復(fù)。
雖然這個(gè)漏洞相當(dāng)嚴(yán)重,但公開記錄中已知的利用該漏洞的攻擊案例很少。由于生成和廣播區(qū)塊 header 鏈以執(zhí)行拒絕服務(wù)攻擊的成本相當(dāng)高,因此該漏洞對攻擊者來說幾乎沒有經(jīng)濟(jì)利益。
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時(shí)間聯(lián)系我們修改或刪除,多謝。
