两年前,Bitcoin协议工程师Braydon Fuller发现了一个严重的不受控制的内存资源消耗拒绝服务漏洞(INVDoS),该漏洞编号为CVE-2018-17145,影响Bitcoin和Litecoin,Namecoin和Decred等其他区块链的三个实现的对等网络代码。
为了避免威胁行为者利用该漏洞,该名研究人员未披露该漏洞详情。但是在一名独立研究人员在另一种利用Bitcoin Core老版本的加密货币中发现了该漏洞后,本周Fuller披露了该漏洞。
Fuller发现,攻击者可借助畸形的Bitcoin交易利用INVDoS漏洞,当Bitcoin区块链节点处理该交易时,会导致不受控制的内存资源消耗,从而触发拒绝服务(即服务器崩溃)。
该名专家在文章中写道,“任意网络参与者可利用一个不受控制的资源消耗和内存溢出漏洞对许多Bitcoin,Litecoin,Namecoin和Decred节点发动拒绝服务(DoS/DDoS)攻击。”
“在该漏洞被发现时,这代表了超过50%的含有入站流量的公开宣传的Bitcoin节点,以及可能大部分的矿工和交易所(受到影响)。”
INVDoS漏洞影响Bitcoin Core 0.16.0版本,Bitcoin Core 0.16.1版本,Bitcoin Knots 0.16.0版本,Bcoin 1.0.0-pre及之前的所有beta版本, Btcd 0.20.1-beta及之前的所有版本,Litecoin Core 0.16.0版本,Namecoin Core 0.16.1版本,和Dcrd 1.5.1及之前的所有版本。
该漏洞已经在Bitcoin Core 0.16.2+版本,Bitcoin Knots 0.16.2+版本,Bcoin 1.0.2+版本,Btcd 0.21.0-beta+版本,Litecoin Core 0.16.2+版本,Namecoin 0.16.2+版本,和Dcrd v1.5.2+ 版本中得到了修复。
Fuller指出,由于利用该漏洞会造成资金或收入损失,相较于其他拒绝服务漏洞,INVDoS漏洞的严重程度更高。
“这可以是通过关闭节点和延迟区块或导致网络临时分区而损失采矿时间或消耗电力。”该文章写道,“也可以是通过干扰和延迟时间敏感的合同或禁止经济活动。这可能会影响商务,交易所,原子交换,第三方存管和闪电网络HTLC支付渠道。目前尚无已知的对该漏洞的利用。”
Bitcoin协议工程师Javed Khan数周前在评估Decred加密货币背后的区块链时,独立发现了CVE-2018-17145。
Khan通过Decred漏洞赏金项目报告了该漏洞,造成该漏洞被公开披露。
好消息是这两名专家都还没有发现利用该漏洞的攻击。
Fuller和Khan表示,“就我们所知,目前尚未有对该漏洞的已知利用。”
—————————————————————————————————————-
消息来源Security Affairs;转载请注明出处。
来源:freebuf.com 2020-09-14 15:20:04 by: 偶然路过的围观群众
请登录后发表评论
注册