Bitcoin Core-Entwickler offenbaren 10 Schwachstellen, die ältere Softwareversionen betreffen

Die in neueren Versionen behobenen Schwachstellen hätten verschiedene Angriffe auf Knoten ermöglichen können, auf denen veraltete Bitcoin Core-Versionen ausgeführt werden.

Bitcoin Optech has disclosed a total of 10 vulnerabilities that have affected older versions of Bitcoin Core software, according to a report by CryptoSlate. These vulnerabilities, which have been fixed in more recent releases, could have enabled various attacks on nodes running outdated Bitcoin Core versions.

Laut einem Bericht von CryptoSlate hat Bitcoin Optech insgesamt 10 Schwachstellen offengelegt, die ältere Versionen der Bitcoin Core-Software betrafen. Diese Schwachstellen, die in neueren Versionen behoben wurden, könnten verschiedene Angriffe auf Knoten ermöglicht haben, auf denen veraltete Bitcoin Core-Versionen laufen.

The disclosure of these vulnerabilities is significant considering that Bitcoin Core developers have recently introduced a new security disclosure policy with the aim of improving transparency and communication regarding vulnerabilities.

Die Offenlegung dieser Schwachstellen ist bedeutsam, wenn man bedenkt, dass die Entwickler von Bitcoin Core kürzlich eine neue Sicherheitsoffenlegungsrichtlinie eingeführt haben, mit dem Ziel, die Transparenz und Kommunikation in Bezug auf Schwachstellen zu verbessern.

In the past, the project has faced criticism for not adequately disclosing security-critical bugs to the public, leading to a perception that Bitcoin Core is largely bug-free.

In der Vergangenheit wurde das Projekt kritisiert, weil es sicherheitskritische Fehler nicht ausreichend der Öffentlichkeit offenlegte, was zu dem Eindruck führte, dass Bitcoin Core weitgehend fehlerfrei sei.

Libbitcoin developer Eric Voskuil, in a message to the Bitcoin mailing list, highlighted that this perception is misleading and could be dangerous, as it downplays the risks involved in running outdated software versions.

Libbitcoin-Entwickler Eric Voskuil betonte in einer Nachricht an die Bitcoin-Mailingliste, dass diese Wahrnehmung irreführend und gefährlich sein könnte, da sie die Risiken herunterspielt, die mit der Verwendung veralteter Softwareversionen verbunden sind.

Active Bitcoin node vulnerabilities

Aktive Schwachstellen in Bitcoin-Knoten

CryptoSlate has analyzed active Bitcoin nodes to assess how many are currently vulnerable to each attack vector. Out of 14,001 nodes, roughly 787 (5.94%) are running versions older than 0.21.0.

CryptoSlate hat aktive Bitcoin-Knoten analysiert, um zu beurteilen, wie viele derzeit für jeden Angriffsvektor anfällig sind. Von 14.001 Knoten laufen auf etwa 787 (5,94 %) Versionen, die älter als 0.21.0 sind.

While the network remains secure and largely protected against any meaningful attacks, this figure is significant enough to be considered a problem that the Bitcoin community may need to address.

Während das Netzwerk weiterhin sicher und weitgehend vor ernsthaften Angriffen geschützt ist, ist diese Zahl signifikant genug, um als ein Problem angesehen zu werden, mit dem sich die Bitcoin-Community möglicherweise befassen muss.

Efforts can be made to encourage these node operators to upgrade to newer versions in order to enhance the Bitcoin network’s overall security, efficiency, and future readiness.

Es können Anstrengungen unternommen werden, um diese Knotenbetreiber zu einem Upgrade auf neuere Versionen zu ermutigen, um die allgemeine Sicherheit, Effizienz und Zukunftsbereitschaft des Bitcoin-Netzwerks zu verbessern.

Although not an immediate critical issue, it is certainly a concern that warrants attention. It’s not an existential threat to Bitcoin, as the majority of the network still runs up-to-date software. However, it does represent a non-trivial portion of the network that could cause issues or be exploited under certain circumstances.

Obwohl es sich nicht um ein unmittelbar kritisches Problem handelt, handelt es sich dennoch um ein Anliegen, das Aufmerksamkeit verdient. Es stellt keine existenzielle Bedrohung für Bitcoin dar, da der Großteil des Netzwerks immer noch mit aktueller Software läuft. Es stellt jedoch einen nicht trivialen Teil des Netzwerks dar, der Probleme verursachen oder unter bestimmten Umständen ausgenutzt werden könnte.

This highlights a need for better communication and incentives within the Bitcoin community to encourage more frequent updates.

Dies unterstreicht den Bedarf an besserer Kommunikation und Anreizen innerhalb der Bitcoin-Community, um häufigere Updates zu fördern.

Risks for active Bitcoin nodes

Risiken für aktive Bitcoin-Knoten

According to the disclosure, the most widespread vulnerability affected versions prior to 0.21.0, potentially impacting 787 nodes. This flaw could enable censorship of unconfirmed transactions and cause netsplits due to excessive time adjustments.

Der Offenlegung zufolge betraf die am weitesten verbreitete Schwachstelle Versionen vor 0.21.0 und betraf möglicherweise 787 Knoten. Dieser Fehler könnte die Zensur unbestätigter Transaktionen ermöglichen und aufgrund übermäßiger Zeitanpassungen zu Netsplits führen.

Three separate vulnerabilities affected versions before 0.20.0, each potentially impacting 182 nodes. These included a memory DoS from large inv-messages, a CPU-wasting DoS from malformed requests, and a memory-related crash when parsing BIP72 URIs.

Drei separate Schwachstellen betrafen Versionen vor 0.20.0, von denen jede potenziell 182 Knoten betraf. Dazu gehörten ein Speicher-DoS durch große Inv-Nachrichten, ein CPU-verschwendender DoS durch fehlerhafte Anfragen und ein speicherbedingter Absturz beim Parsen von BIP72-URIs.

An unbound ban list CPU/memory DoS vulnerability (CVE-2020-14198) affected versions prior to 0.20.1, putting 185 nodes at risk. Earlier versions were susceptible to other attacks, such as a CPU DoS and node stalling from orphan handling (before 0.18.0, affecting 70 nodes) and a memory DoS using low-difficulty headers (before 0.15.0, impacting 29 nodes).

Eine ungebundene CPU-/Speicher-DoS-Schwachstelle in der Verbotsliste (CVE-2020-14198) betraf Versionen vor 0.20.1 und gefährdete 185 Knoten. Frühere Versionen waren anfällig für andere Angriffe, wie z. B. einen CPU-DoS und Node-Stillstand durch Orphan-Handling (vor 0.18.0, der 70 Knoten betraf) und einen Speicher-DoS mit Headern mit geringem Schwierigkeitsgrad (vor 0.15.0, der 29 Knoten betraf).

The oldest vulnerabilities disclosed included a remote code execution bug in miniupnpc (CVE-2015-6031) affecting versions before 0.11.1 and a node crash DoS from large messages (CVE-2015-3641) in versions prior to 0.10.1. These affected 22 and 5 nodes, respectively, indicating that very few are still running such outdated software.

Zu den ältesten offengelegten Schwachstellen gehörten ein Fehler bei der Remotecodeausführung in miniupnpc (CVE-2015-6031), der Versionen vor 0.11.1 betraf, und ein Node-Crash-DoS durch große Nachrichten (CVE-2015-3641) in Versionen vor 0.10.1. Davon waren 22 bzw. 5 Knoten betroffen, was darauf hindeutet, dass nur noch sehr wenige derart veraltete Software ausführen.

New Bitcoin developer disclosure policy

Neue Offenlegungsrichtlinie für Bitcoin-Entwickler

The new policy categorizes vulnerabilities into four severity levels: low, medium, high, and critical. Low-severity bugs, which are difficult to exploit or have minimal impact, will be disclosed two weeks after a fixed version is released, with a pre-announcement made simultaneously.

Die neue Richtlinie kategorisiert Schwachstellen in vier Schweregrade: niedrig, mittel, hoch und kritisch. Fehler mit geringem Schweregrad, die schwer auszunutzen sind oder nur minimale Auswirkungen haben, werden zwei Wochen nach Veröffentlichung einer behobenen Version bekannt gegeben, wobei gleichzeitig eine Voranmeldung erfolgt.

Medium and high-severity bugs, which have more significant impacts, will be disclosed two weeks after the last affected release reaches its end-of-life (EOL), typically one year after the fixed version is first released. A pre-announcement will be made two weeks before disclosure. Critical bugs threatening the network’s integrity will require an ad-hoc disclosure procedure.

Fehler mit mittlerem und hohem Schweregrad, die schwerwiegendere Auswirkungen haben, werden zwei Wochen nach Erreichen des End-of-Life (EOL) der letzten betroffenen Version offengelegt, normalerweise ein Jahr nach der ersten Veröffentlichung der behobenen Version. Eine Voranmeldung erfolgt zwei Wochen vor der Veröffentlichung. Kritische Fehler, die die Integrität des Netzwerks gefährden, erfordern ein Ad-hoc-Meldeverfahren.

The policy will be implemented gradually. All vulnerabilities fixed in Bitcoin Core versions 0.21.0 and earlier will be disclosed immediately. In July, vulnerabilities fixed in version 22.0 will be disclosed, followed by those fixed in version 23.0 in August. This process will continue until all EOL versions have been addressed.

Die Richtlinie wird schrittweise umgesetzt. Alle in den Bitcoin Core-Versionen 0.21.0 und früheren Versionen behobenen Schwachstellen werden umgehend offengelegt. Im Juli werden die in Version 22.0 behobenen Schwachstellen offengelegt, im August folgen die in Version 23.0 behobenen Schwachstellen. Dieser Prozess wird fortgesetzt, bis alle EOL-Versionen behoben wurden.

This initiative aims to set clear expectations for security researchers, incentivizing them to find and responsibly disclose vulnerabilities. By making security bugs available to a broader group of contributors, the policy seeks to prevent future issues and enhance the overall security of the Bitcoin network.

Diese Initiative zielt darauf ab, klare Erwartungen an Sicherheitsforscher zu setzen und sie zu motivieren, Schwachstellen zu finden und verantwortungsbewusst offenzulegen. Durch die Bereitstellung von Sicherheitslücken für eine breitere Gruppe von Mitwirkenden zielt die Richtlinie darauf ab, zukünftige Probleme zu verhindern und die allgemeine Sicherheit des Bitcoin-Netzwerks zu verbessern.

According to the Bitcoin Development Mailing List, the policy’s gradual adoption will allow the community to adjust and provide feedback on its impact.

Laut der Bitcoin Development Mailing List wird die schrittweise Einführung der Richtlinie es der Community ermöglichen, sich anzupassen und Feedback zu ihren Auswirkungen zu geben.

Node operators still using affected versions are strongly advised to upgrade to the latest release to mitigate these potential risks.

Knotenbetreibern, die weiterhin betroffene Versionen verwenden, wird dringend empfohlen, ein Upgrade auf die neueste Version durchzuführen, um diese potenziellen Risiken zu mindern.