Κενό ασφαλείας στον Upnp κώδικα που χρησιμοποιεί το Bitcoin core
Βρέθηκε κενό ασφαλείας στο Upnp κώδικα που χρησιμοποιεί ο κώδικα του Bitcoin πυρήνα του που επιτρέπει την επίθεση και το κρασάρισμα των Bitcoin node που τρέχουν σε κάποιο τοπικό δίκτυο. Ο κώδικας που λύνει το πρόβλημα ήδη έχει δημιουργηθεί και αναμένετε τις επόμενες ώρες οι developer να διαθέσουν την νέα ενώ καλό είναι μέχρι να γίνει αυτό να απενεργοποιήσουμε από το πορτοφόλι μας αυτή την ρύθμιση.
Περισσότερες πληροφορίες για το κενό ασφαλείας μπορείτε να βρείτε εδώ
- turn off the checkbox in the GUI under Options → Network → Map port using UPNP (see above)
- add the line
upnp=0to yourbitcoin.conffile- add
-upnp=0to the command line optionsAlso upgrade to a version of Bitcoin Core at least 0.10.3 or 0.11.1 when they are released (the release cycle is in progress). These versions upgrade the library to a non-vulnerable version, as well as disable UPnP by default to prevent this problem in the future.
Details
Version before 1.9.20151008 of the miniupnpc library are vulnerable to a buffer overflow in the XML parser during initial network discovery. The vulnerable code triggers at startup of Bitcoin Core if UPnP is enabled.
Details of the vulnerability can be found here: http://talosintel.com/reports/TALOS-2015-0035/