Группа разработчиков Bitcoin Core представила комплексную политику раскрытия информации о безопасности, чтобы устранить прошлые недостатки в публикации критических для безопасности ошибок.

Эта новая политика направлена ​​на создание стандартизированного процесса сообщения и раскрытия уязвимостей, тем самым повышая прозрачность и безопасность в экосистеме Биткойн.

В объявление также включено несколько ранее нераскрытых уязвимостей.

Что такое раскрытие информации о безопасности?

Раскрытие информации о безопасности — это процесс, посредством которого исследователи безопасности или этические хакеры сообщают пострадавшей организации об уязвимостях, обнаруженных ими в программном обеспечении или системах. Цель состоит в том, чтобы позволить организации устранить эти уязвимости до того, как ими смогут воспользоваться злоумышленники. Этот процесс обычно включает в себя обнаружение уязвимости, конфиденциальное сообщение о ней, проверку ее существования, разработку исправления и, наконец, публичное раскрытие уязвимости вместе с подробными сведениями и советами по устранению.

Стоит ли пользователям беспокоиться?

Последние раскрытия безопасности Bitcoin Core касаются различных уязвимостей различной степени серьезности. Ключевые проблемы включают в себя многочисленные уязвимости типа «отказ в обслуживании» (DoS), которые могут привести к сбоям в обслуживании, дефект удаленного выполнения кода (RCE) в библиотеке miniUPnPc, ошибки обработки транзакций, которые могут привести к цензуре или неправильному управлению потерянными транзакциями, а также сетевые уязвимости, такие как как взрыв буфера и переполнение временной метки, приводящее к разделениям сети.

Считается, что какая-либо из этих уязвимостей в настоящее время не представляет критического риска для сети Биткойн. В любом случае, пользователям настоятельно рекомендуется следить за актуальностью своего программного обеспечения.

Подробную информацию см. в коммитах на GitHub: Раскрытие информации о безопасности ядра Bitcoin.

Улучшение процесса раскрытия информации

Новая политика Bitcoin Core классифицирует уязвимости по четырем уровням серьезности: низкий, средний, высокий и критический.

  • Низкая серьезность: ошибки, которые сложно использовать или которые оказывают минимальное влияние. Они будут раскрыты через две недели после выпуска исправления.

  • Средняя и высокая степень серьезности: ошибки со значительным влиянием или умеренной простотой использования. Информация будет раскрыта через год после прекращения поддержки последней затронутой версии (EOL).

  • Критическая серьезность: ошибки, которые угрожают целостности всей сети, такие как уязвимости инфляции или кражи монет, будут обрабатываться с помощью специальных процедур из-за их серьезного характера.

Эта политика направлена ​​на обеспечение последовательного отслеживания и стандартизации процессов раскрытия информации, поощрение ответственной отчетности и предоставление сообществу возможности оперативно решать проблемы.

История раскрытия информации CVE в биткойнах

За прошедшие годы Биткойн столкнулся с несколькими заметными проблемами безопасности, известными как CVE (общие уязвимости и уязвимости). Эти инциденты подчеркивают важность бдительных мер безопасности и своевременных обновлений. Вот несколько ключевых примеров:

CVE-2012-2459: Эта критическая ошибка может вызвать проблемы в сети, позволяя злоумышленникам создавать недействительные блоки, которые выглядят действительными, что потенциально может временно разделить сеть Биткойн. Это было исправлено в версии Bitcoin Core 0.6.1 и послужило стимулом для дальнейших улучшений протоколов безопасности Биткойна.

CVE-2018-17144: критическая ошибка, которая могла позволить злоумышленникам создать дополнительные биткойны, нарушая принцип фиксированного количества. Эта проблема была обнаружена и устранена в сентябре 2018 года. Пользователям необходимо было обновить свое программное обеспечение, чтобы избежать потенциальной эксплуатации.

Кроме того, сообщество Биткойн обсудило различные другие уязвимости и потенциальные исправления, которые еще не были реализованы.

CVE-2013-2292: Создавая блоки, проверка которых занимает очень много времени, злоумышленник может значительно замедлить работу сети.

CVE-2017-12842: Эта уязвимость может заставить легкие биткойн-кошельки думать, что они получили платеж, хотя на самом деле это не так. Это рискованно для клиентов SPV (упрощенная проверка платежей).

Разговор вокруг этих уязвимостей подчеркивает постоянную необходимость в скоординированных и поддерживаемых сообществом обновлениях протокола Биткойн. Продолжающиеся исследования идеи консенсусного софт-форка очистки направлены на устранение скрытых уязвимостей унифицированным и эффективным способом, обеспечивая постоянную надежность и безопасность сети Биткойн.

Обеспечение безопасности программного обеспечения — это динамичный процесс, требующий постоянной бдительности и обновлений. Это пересекается с более широкой дискуссией по поводу окостенения Биткойна, где основной протокол остается неизменным для поддержания стабильности и доверия. В то время как некоторые выступают за минимальные изменения во избежание рисков, другие утверждают, что периодические обновления необходимы для повышения безопасности и функциональности.

Эта новая политика раскрытия информации Bitcoin Core является шагом к балансированию этих перспектив, гарантируя, что любые необходимые обновления будут хорошо доведены до сведения и будут управляться ответственно.

Источник: Журнал Биткойн.

Сообщение Bitcoin Core объявляет о новой политике раскрытия информации о безопасности впервые появилось в Crypto Breaking News.