Bash Bug on murelik, kuid vähe ohustab Bitcoin teenuseid | EE.concellodemelon.org

Bash Bug on murelik, kuid vähe ohustab Bitcoin teenuseid

Bash Bug on murelik, kuid vähe ohustab Bitcoin teenuseid

Oli palju turvalisusega seotud probleeme eile pärast avastamist vanem viga, mis võib mõjutada veebiserverite ja Interneti-ühendusega seadmeid - kuid paljud tööstuses on väites, et see ei kujuta endast otsest ohtu, et Bitcoin teenuseid.

Haavatavuse dubleeritud kas "Bash Bug" või "Shellshock Bug", mis võimaldaks pahatahtliku juurdepääsu UNIX-põhise seadme operatsioonisüsteem käsurea kaudu kest - levinuim millest on bash.

UNIX-põhiste süsteemide hulka MacOS, Linux versioonid (laua- ja server), populaarne liikuvatel alustel ja manussüsteemid teiste seadmetega, mis edastavad online.

CNETreportedthat turvalisuse ekspert Robert Graham, describedit nagu "kui suur asi nagu Heartbleed" - OpenSSL viga avastati aprillis - arvestades "tohutu protsent tarkvara, mis suhtleb kest".

"Üle-hyped"

Jeff Garzik, Bitcoin põhiarendaja ja nüüd vanem tarkvara insener BitPay ütles aga, et puudub selge ja käesoleva ohtu Bitcoin kasutajad.

"Prognoos: bash bug EI suurem oht ​​kui heartbleed," ta postitatud Reddit lõng.

Garzik ütles CoinDesk, et kuigi äsja avastatud viga oli potentsiaali olla halb, "kõige võrguteenuste kasutamisel Bitcoin on palju turvalisem kui keskmine kodu ruuteri".

Ta lisas, et Bash Bug mõjutaks peamiselt mitte-Bitcoin saidid ja oli seda üle hyped.

"See nõuab erilist tingimuste kogum olla kasutatavuse ja kodu ruuterid ja vana Apache web servereid juba Šveitsi juust turvalisuse niikuinii. Ma arvan, et praktiline mõju on palju väiksem kui peavoolu meedia teeb seda läbi olema."

Bitcoin sihtmärk?

Praeguses etapis on ühtegi teadet ära BASH Bug mõjutaks Bitcoin seotud teenused. Miks hoolt üldse?

Bitcoin teenused võivad potentsiaalselt olla atraktiivsemaks eesmärgi häkkerid ja vargad kui väljakujunenud, Fiat-põhiste teenuste nagu internetipanga ja PayPal.

On kaks ajaloolises põhjust: halb turvalisuse rakendamise mingil varajases staadiumis Internetis Bitcoin teenuste ja vastumeelsus ametiasutustel uurimiseks ja karistamiseks digitaalse valuuta kuritegude, kui nad kahtlustavad narkootikume või rahapesu on kaasatud.

Seetõttu on parem vähemalt olema teadlikud võimalikest probleemidest arendajad ja teenused võivad tulla.

Üks vahetus arvates

Yan Chuan või "YC" CTO vahetada BitBays.com ütles viga oli "suhteliselt lihtne häkkerid kasutada", ning soovitas kõigile kasutajatele plaaster, varundada logisid ja kontrollige süsteemid, kas mõni rünnak oli toimunud.

Kuna viga lubatud pahatahtlike häkkerite täielik juurdepääs operatsioonisüsteemi oli potentsiaali tahes rünnaku varastada Bitcoin rahakotid paigaldamist klahvilogijad ja tagauksed.

YC ütles Bitcoin ise ei mõjuta tänu oma detsentraliseeritud struktuuri.

"Kuid nagu tsentraliseeritud pakkuja vahetamise või rahakoti teenuste on võimalik mõjutada bash viga. Esinemise tõttu selle haavatavuse avatud SSH, HTTP, FTP ja muud taotluse serverid on kõik ohus kaugjuhitavad külastatud ja kontrollib häkker. "

Kuna Windows ei UNIX selle töölaua kasutajad ei mõjuta ise. BitBays "platvorm on valmistatud, YC jätkus, kuid asjaomastele kasutajatele muud platvormi võib küsida nende vahetamise või rahakoti teenuse olukorra, kui kindel.

Koorepragudega

Bash Bug haavatavust tuleneb tõsine turvaprobleem, mis on olemas bash (Bourne Jällegi Shell) käsk "env. See mõjutab kohaliku kest, samuti SSH, FTP, HTTP ja muid olulisi teenuseid.

YC selgitas, kuidas viga võiks ära, öeldes, et paljud veebiserverid Kirjuta kasutaja HTTP taotluse andmed (REMOTE_HOST), REQUEST_METHOD päringust STRING jne) salvestatakse keskkonnamuutuja, taustarakendusele Web raamistiku või CGI skripte.

Kui see teave sisaldab pahatahtlikku juhiseid, järgmine kord serveri täidab bash täidab nimetatud pahatahtliku juhiseid. Seega server on ohustatud.

Praegu populaarne Apache + PHP ja nginx + WSGI raamistikud on haavatav.

Nr kiirparandus

Vastavalt Red Hat, mis välja andnud oma Security Advisory paljud programmid juurde bash shell taustal. Mitmed Linuxi juba tehtud plaastrid olemas, sealhulgas Red Hat Enterprise Linux, Debian, Ubuntu ja CentOS.

Bug, mis on tegelikult olemas rohkem kui 25 aastat enne vabastamist tänased uudised, võib mõjutada miljoneid seadmeid ja jäta palju vanemad vajavad lappimine. See on õhuke seadmete arvu vajadust lappimine, mitte viga keerukus või tuntud kasutab, et on mõned eksperte.

SecurityJeff Garzik

Seotud uudised


Post Funktsioon

USA valitsus müüb 10 000 000 dollarini kinnipeetud bitükooni ja bitcoini sularaha

Post Funktsioon

Prantsusmaa pank hoiatab Bitcoini volatiilsust

Post Funktsioon

Ubin 2. osa: Singapuri keskpank avaldab Blockchaini projekti üksikasju

Post Funktsioon

Bitcoin Malware Attack kasutab Venemaa ja Ukraina kriisi

Post Funktsioon

Austraalia autotootja Tomcar müüb maastikusõidukid bükinoonide jaoks

Post Funktsioon

Belgia Maksuamet: Bitcoin kaupleb käibemaksukohustuslasena

Post Funktsioon

Allianz testib Blockchaini katastroofipõhiste võlakirjatehingute tõhustamiseks

Post Funktsioon

Bitcoini kaevandusvõrgu haavatavus ei ole suur asi

Post Funktsioon

Austraalia politsei konfiskeerib Bitcoini ATMi $ 2,6 miljoni narkootilise büstiga

Post Funktsioon

Krediitkaardiga Giant MasterCard vabastab eksperimentaalsed Blockchain API-sid

Post Funktsioon

Bitcoini annetused saavad nüüd rahastada mäetootmisvõimalusi

Post Funktsioon

2018. aasta konsensuse väljakuulutamine: tippkohtumine Bitcoini ja Blockchaini tehnoloogiate teemal