นักพัฒนา Bitcoin Core นำนโยบายความปลอดภัยใหม่มาใช้เพื่อลดการใช้ซอฟต์แวร์ที่ล้าสมัย

แชร์บทความนี้

ตลอดประวัติการคอมมิต นักพัฒนา Bitcoin Core ได้เปิดเผยช่องโหว่เพียง 10 จุดเท่านั้นที่อาจส่งผลต่อซอฟต์แวร์ไคลเอนต์ Bitcoin เวอร์ชันเก่า ตามรายงาน รายงาน จาก Bitcoin Optech จุดอ่อนเหล่านี้แม้จะได้รับการแก้ไขแล้วในรุ่นล่าสุด แต่ก็อาจทำให้เกิดการโจมตีโหนดต่างๆ ที่ใช้ Bitcoin Core เวอร์ชันเก่าได้

รายงานนี้มาโดยนักพัฒนา แนะนำ นโยบายการเปิดเผยข้อมูลด้านความปลอดภัยใหม่เพื่อปรับปรุงความโปร่งใสและการสื่อสารระหว่างทีมและผู้ใช้สาธารณะของ Bitcoin

“โครงการนี้มักทำผลงานได้ไม่ดีในการเปิดเผยจุดบกพร่องที่สำคัญต่อความปลอดภัยต่อสาธารณะ ไม่ว่าจะรายงานจากภายนอกหรือพบโดยผู้ร่วมโครงการ ซึ่งทำให้ผู้ใช้จำนวนมากมองว่า Bitcoin Core ไม่เคยมีจุดบกพร่องเลย การรับรู้เช่นนี้ถือเป็นเรื่องอันตราย และน่าเสียดายที่มันไม่ถูกต้อง” ประกาศดังกล่าวระบุโดย Antoine Poinsot สำหรับ Bitcoin Growth Mailing Listing

ตามการวิเคราะห์ที่เขียนโดย Liam Wright จาก CryptoSlate โหนดประมาณ 787 โหนด หรือ 5.94% จากโหนด Bitcoin ที่ใช้งานอยู่ 14,001 โหนด กำลังรันเวอร์ชันเก่ากว่า 0.21.0 ซึ่งทำให้โหนดเหล่านี้เสี่ยงต่อช่องโหว่บางประการ ช่องโหว่ที่แพร่หลายที่สุดนั้นส่งผลต่อเวอร์ชันก่อน 0.21.0 ซึ่งอาจทำให้เกิดการเซ็นเซอร์ธุรกรรมที่ไม่ได้รับการยืนยันและทำให้เกิด netsplits เนื่องจากการปรับเวลามากเกินไป

ช่องโหว่สำคัญอื่นๆ ได้แก่ รายการแบน CPU/หน่วยความจำ DoS ที่ไม่ถูกจำกัด (CVE-2020-14198) ส่งผลกระทบต่อโหนด 185 แห่งที่ใช้งานเวอร์ชันก่อน 0.20.1 และช่องโหว่แยกกันสามรายการซึ่งส่งผลกระทบต่อโหนด 182 แห่งเวอร์ชันก่อน 0.20.0 แต่ละรายการ ซึ่งรวมถึงการโจมตีแบบ DoS ต่อหน่วยความจำจากข้อความ inv ขนาดใหญ่ การโจมตีแบบ DoS ที่ทำให้สิ้นเปลือง CPU จากคำขอที่ผิดรูปแบบ และความผิดพลาดที่เกี่ยวข้องกับหน่วยความจำเมื่อวิเคราะห์ URI ของ BIP72

ช่องโหว่ที่เปิดเผยมายาวนานที่สุดนั้นย้อนกลับไปถึงปี 2015 ซึ่งส่งผลกระทบต่อโหนดเพียงไม่กี่แห่งที่ใช้งานซอฟต์แวร์ที่ล้าสมัยดังกล่าว ซึ่งรวมถึงจุดบกพร่องของการเรียกใช้โค้ดจากระยะไกลใน miniupnpc (CVE-2015-6031) และโหนดล่มสลายจากข้อความขนาดใหญ่ (CVE-2015-3641) ส่งผลต่อ 22 และ 5 โหนดตามลำดับ

ระบบการเปิดเผยข้อมูลใหม่จะแบ่งช่องโหว่ออกเป็น 4 ระดับความรุนแรง และกำหนดระยะเวลาการเปิดเผยข้อมูลตามความรุนแรงของแต่ละระดับ โดยโครงการนี้มีเป้าหมายเพื่อกำหนดความคาดหวังที่ชัดเจนสำหรับนักวิจัยด้านความปลอดภัย และกระตุ้นให้เกิดการเปิดเผยช่องโหว่อย่างมีความรับผิดชอบ

แม้ว่าเปอร์เซ็นต์ของโหนดที่เสี่ยงจะไม่ใช่ปัญหาสำคัญเร่งด่วน แต่ก็ถือเป็นส่วนเล็กๆ ของเครือข่ายที่อาจถูกใช้ประโยชน์ได้ การเปิดเผยข้อมูลนี้เน้นย้ำถึงความจำเป็นในการสื่อสารและแรงจูงใจที่ดีขึ้นภายในชุมชน Bitcoin เพื่อสนับสนุนให้มีการอัปเดตซอฟต์แวร์บ่อยขึ้นและเพิ่มความปลอดภัยโดยรวมของเครือข่าย โดยเฉพาะอย่างยิ่ง ข้อบกพร่องร้ายแรงจะต้องใช้ขั้นตอนเฉพาะกิจ

การนำไปใช้แบบค่อยเป็นค่อยไปนี้จะเริ่มต้นด้วยการเปิดเผยช่องโหว่ที่ได้รับการแก้ไขใน Bitcoin Core เวอร์ชัน 0.21.0 และเวอร์ชันก่อนหน้า ตามด้วยช่องโหว่ที่ได้รับการแก้ไขในเวอร์ชันถัดไปในอีกไม่กี่เดือนข้างหน้า นโยบายดังกล่าวมีจุดมุ่งหมายเพื่อกำหนดความคาดหวังที่ชัดเจนสำหรับนักวิจัยด้านความปลอดภัย และกระตุ้นให้เกิดการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ

แชร์บทความนี้