Kas Linuxi viga jätab Bitcoinerid haavatavaks rünnakuteks? | EE.concellodemelon.org

Kas Linuxi viga jätab Bitcoinerid haavatavaks rünnakuteks?

Kas Linuxi viga jätab Bitcoinerid haavatavaks rünnakuteks?

Turvaprobleem peamine krüptograafiliste programm on ilmnenud Linux gnuTLS paketi valikuline osa kolmanda osapoole Bitcoin ja altcoin kliendi rakendused.

GnuTLS SSL raamatukogu sisaldub palju avatud lähtekoodiga paketid nagu Red Hat, Ubuntu ja Debian distributsioonid Linuxi.

Algselt käigus leitakse auditof gnuTLS Red Hat, mõju viga on laiaulatuslikud arendajatele.

Selgitas Ars Technica oma aruandes:

"[R] rünnakute kõrvale levinuim tehnoloogia, et vältida pealtkuulamist internetis, tänu äärmiselt kriitiline haavatavus laialdaselt kasutatud krüptograafiliste kood raamatukogu."

Bug allikas selgitab, on tulemus käsud osa gnuTLS kood, mis tegelevad sertifikaadi tõendamine. Arvestused näitavad viga võis sisse nii kaugele tagasi 2005 kuigi see avastati 4. Märts.

Lisaks rohkem kui 200 erinevat operatsioonisüsteemide ja rakendused võivad olla mõjutatud.

GnuTLS bug HALB: ümbersõit SSL, TLS üle 200 erineva OS, Apps, mis tuginevad GnuTLS SSL ja TLS operatsioonide http://t.co/Tj7nA9R0ih

- Meeskonna Cymru (@teamcymru) 5. Märts 2014

Viga, mis hõlmab vead mitu "goto cleanup" kõned on potentsiaalselt ohtlik, kuna see võimaldab efektiivselt keegi teostada "Vahendajarünne", mille krüpteeritud side ja kliendi vahelise veebiserver saab kasutada spetsiaalselt formuleeritud sertifikaadid.

Kirjutas Red Hat oma hinnangu:

"Ründaja võib kasutada seda viga, et luua spetsiaalselt formuleeritud sertifikaat, mis oleks vastuvõetav gnuTLS kehtib nii kohapeal valitud ründaja."

Mõju Bitcoin kasutajad

Despitethe alarm viga tõstnud laiemas tech kogukonna Bitcoin juhtiv arendaja Jeff Garzik ütles CoinDesk et küsimus ei ole tõenäoliselt olulist mõju Bitcoin, kuigi mõned mõjutab.

Selgitas Garzik:

"The gnuTLS viga on päris halb, kuid väga vähesed kasutamise gnuTLS on Bitcoin kogukonnas. OpenSSL on standard."

Garzik märgitud, et kasutada OpenSSL leevendab kahvliga oht, et on olemas, kui kasutatakse teiste konkureerivate raamatukogud võti tarkvara, nagu gnuTLS.

Ta märkis ka, et projektide abil OpenSSL, Mozilla NSS, krüpto ++ või muu krüpto raamatukogu ei mõjutanud viga. Igaüks, kes on koostanud Bitcoind vastu SSL pakett aga oleks rakendamise, mis oli haavatav, märkis ta.

Ankur Nandwani, arendaja on Bitmonet, soovitas võõrustas rahakoti kasutajad ja kasutajate Bitcoin vahetus oleks kõige rohkem mõjutanud, kuid märkis, et on lihtne kaitstud, et vältida probleeme.

"Mõlemal juhul võib ründaja nuusutada kasutajad volikirjad kui kasutajad üritavad sisse logida oma kontole. Tõenäosuse vähendamiseks online rahakotid ja vahetada volikirjad ohus, see on tõesti oluline, et igaüks kasutada kahe teguri autentimise. "

Nandwani ütles, et viga on tõendeid, et Bitcoin kasutajad peaksid vähendama oma sõltuvust Internetis rahakotid ja vahetusi.

Rakendamine parandus

GnuTLS meeskond on alates announcedan värskendus moodustavad viga, üks Bitcoin ja altcoin kasutajad ja arendajad vajavad parandust saab nüüd uuendada. Red Hat teatas, et gnuTLS kasutajad peaksid uuendama oma pakette probleemi lahendama, ning märkis, et kõik rakendused, mis on seotud gnuTLS raamatukogu tuleb taaskäivitada värskenduse toimuma.

Kuigi vigu lahendatakse versioon 3.2.12, nad ikka jõlkuma seas avalikus, mis on tuginenud võrdlusi teiste suurte vigade kodeerimine viga ajalugu.

Gnu on isegi hullem võrgustike turvaprobleem kui Apple oli. Ja kuna 2005. Http://t.co/iiuxG10XdK

- JoergR (@JoergR) 5. Märts 2014

Täieliku selgituse viga ja kuidas käituda, kui olete mõjutatud, klõpsake siia.

Seotud uudised


Post Funktsioon

Bitcoin Money Transferi käivitamine Freemiti sulgemiseks rahastamise puudujääk

Post Funktsioon

Takistuste eemaldamine Bitcoini evolutsioonist kiirendab vastuvõtmist

Post Funktsioon

Uus-Meremaa Bitcoini ATM operaator lülitub välja pärast pankade keeldumist

Post Funktsioon

Belgia keskpank jääb positiivseks Bitcoini kohta, mitteametlikult

Post Funktsioon

Money Spinners: Bitcoini sularahaautomaadid teevad Capitol Hilli debüüdi

Post Funktsioon

Bitcoin Exchange Quadriga, et minna avalikkusele tagurpidi ülevõtmisse

Post Funktsioon

Pock.io Krüptokursside Ühendkuningriigi jaemüüja kinkekaartide müük

Post Funktsioon

Venemaa pakub rahalisi karistusi Bitcoini kasutamise ja edendamise eest

Post Funktsioon

Shremi kohtuasi lükati tagasi võimalike vahistamisharjumuste lahendamiseks

Post Funktsioon

Autoparkla Beepi: Bitcoini aktsepteerimine oli loogiline samm

Post Funktsioon

Green Activist on esimene Suurbritannia poliitik, kes kiidab Bitcoini heaks

Post Funktsioon

Bitcoini riskikapitali rahastamine on suurem, kui bitsükiini hind on 100 dollarist põhjas