一組比特幣核心開發人員推出了一項全面的安全披露政策,以解決過去在公佈安全關鍵漏洞方面的缺陷。
這項新政策旨在建立報告和披露漏洞的標準化流程,從而提高比特幣生態系統的透明度和安全性。
該公告還包含幾個之前未披露的漏洞。
什麼是安全披露?
安全披露是安全研究人員或道德黑客向受影響組織報告他們在軟件或系統中發現的漏洞的過程。目標是讓組織能夠在這些漏洞被惡意行爲者利用之前解決它們。此過程通常包括髮現漏洞、祕密報告漏洞、驗證漏洞的存在、開發修復程序,最後公開披露漏洞以及詳細信息和緩解建議。
用戶應該擔心嗎?
最新的比特幣核心安全披露解決了各種不同嚴重程度的漏洞。主要問題包括可能導致服務中斷的多個拒絕服務 (DoS) 漏洞、miniUPnPc 庫中的遠程代碼執行 (RCE) 缺陷、可能導致審查或不當孤立交易管理的交易處理錯誤,以及導致網絡分裂的緩衝區爆炸和時間戳溢出等網絡漏洞。
目前,我們認爲這些漏洞不會對比特幣網絡造成重大風險。無論如何,我們強烈建議用戶確保其軟件是最新版本。
有關詳細信息,請參閱 GitHub 上的提交:比特幣核心安全披露。
改進披露流程
Bitcoin Core 的新政策將漏洞分爲四個嚴重程度:低、中、高和嚴重。
低嚴重性:難以利用或影響極小的漏洞。修復發佈兩週後,這些漏洞將被披露。
中度和高度嚴重性:影響重大或利用難度適中的漏洞。這些漏洞將在最後一個受影響版本停產 (EOL) 一年後披露。
嚴重程度:威脅整個網絡完整性的漏洞,例如通貨膨脹或硬幣盜竊漏洞,由於其嚴重性,將採用臨時程序處理。
該政策旨在提供一致的跟蹤和標準化的披露流程,鼓勵負責任的報告並允許社區及時解決問題。
比特幣 CVE 披露的歷史
多年來,比特幣經歷了幾個值得注意的安全問題,即 CVE(常見漏洞和暴露)。這些事件凸顯了警惕的安全實踐和及時更新的重要性。以下是一些關鍵示例:
CVE-2012-2459:此嚴重漏洞可能導致網絡問題,因爲攻擊者可以創建看似有效的無效區塊,從而可能暫時分裂比特幣網絡。該漏洞已在比特幣核心版本 0.6.1 中修復,並促使比特幣安全協議進一步改進。
CVE-2018-17144:一個嚴重漏洞,可能允許攻擊者創建額外的比特幣,違反固定供應原則。該問題於 2018 年 9 月發現並修復。用戶需要更新其軟件以避免潛在的攻擊
此外,比特幣社區還討論了其他各種尚未實施的漏洞和潛在的修復。
CVE-2013-2292:通過創建需要很長時間才能驗證的區塊,攻擊者可以顯著降低網絡速度。
CVE-2017-12842:此漏洞可誘使輕量級比特幣錢包誤以爲已收到付款,但實際上並未收到。這對 SPV(簡化付款驗證)客戶而言十分危險。
圍繞這些漏洞的討論強調了持續需要協調和社區支持的比特幣協議更新。圍繞共識清理軟分叉理念的持續研究旨在以統一和有效的方式解決潛在漏洞,確保比特幣網絡的持續穩健性和安全性。
維護軟件安全是一個動態過程,需要持續警惕和更新。這與比特幣僵化的更廣泛爭論相交叉——核心協議保持不變以保持穩定性和信任。雖然有些人主張進行最小程度的更改以避免風險,但另一些人認爲偶爾進行更新是必要的,以增強安全性和功能性。
比特幣核心的這一新披露政策朝着平衡這些觀點邁出了一步,確保任何必要的更新都得到良好的溝通和負責任的管理。
來源:比特幣雜誌
比特幣核心宣佈新的安全披露政策一文最先出現在 Crypto Breaking News 上。
