ビットコインコア開発者、古いソフトウェアバージョンに影響を与える10件の脆弱性を公開

この脆弱性は最近のリリースで修正されており、古いバージョンの Bitcoin Core を実行しているノードに対してさまざまな攻撃が可能になる可能性がありました。

Bitcoin Optech has disclosed a total of 10 vulnerabilities that have affected older versions of Bitcoin Core software, according to a report by CryptoSlate. These vulnerabilities, which have been fixed in more recent releases, could have enabled various attacks on nodes running outdated Bitcoin Core versions.

CryptoSlateのレポートによると、Bitcoin Optechは、Bitcoin Coreソフトウェアの古いバージョンに影響を与える合計10件の脆弱性を公開した。これらの脆弱性は最近のリリースで修正されており、古いバージョンの Bitcoin Core を実行しているノードに対してさまざまな攻撃が可能になる可能性があります。

The disclosure of these vulnerabilities is significant considering that Bitcoin Core developers have recently introduced a new security disclosure policy with the aim of improving transparency and communication regarding vulnerabilities.

Bitcoin Core 開発者が最近、脆弱性に関する透明性とコミュニケーションの向上を目的とした新しいセキュリティ開示ポリシーを導入したことを考慮すると、これらの脆弱性の開示は重要です。

In the past, the project has faced criticism for not adequately disclosing security-critical bugs to the public, leading to a perception that Bitcoin Core is largely bug-free.

過去には、このプロジェクトはセキュリティクリティカルなバグを一般に適切に公開していないとして批判にさらされており、ビットコインコアにはほとんどバグがないという認識につながった。

Libbitcoin developer Eric Voskuil, in a message to the Bitcoin mailing list, highlighted that this perception is misleading and could be dangerous, as it downplays the risks involved in running outdated software versions.

Libbitcoin開発者のEric Voskuil氏は、Bitcoinメーリングリストへのメッセージの中で、古いソフトウェアバージョンの実行に伴うリスクを軽視しているため、この認識は誤解を招き、危険である可能性があると強調した。

Active Bitcoin node vulnerabilities

アクティブなビットコインノードの脆弱性

CryptoSlate has analyzed active Bitcoin nodes to assess how many are currently vulnerable to each attack vector. Out of 14,001 nodes, roughly 787 (5.94%) are running versions older than 0.21.0.

CryptoSlate はアクティブなビットコイン ノードを分析し、現在各攻撃ベクトルに対して脆弱なノードがいくつあるかを評価しました。 14,001 ノードのうち、およそ 787 (5.94%) が 0.21.0 より古いバージョンを実行しています。

While the network remains secure and largely protected against any meaningful attacks, this figure is significant enough to be considered a problem that the Bitcoin community may need to address.

ネットワークの安全性は保たれており、重大な攻撃からはほぼ保護されていますが、この数字は、ビットコイン コミュニティが対処する必要がある問題と考えられるほど重要です。

Efforts can be made to encourage these node operators to upgrade to newer versions in order to enhance the Bitcoin network’s overall security, efficiency, and future readiness.

ビットコインネットワーク全体のセキュリティ、効率性、将来への対応力を強化するために、これらのノードオペレーターが新しいバージョンにアップグレードするよう奨励する取り組みが可能です。

Although not an immediate critical issue, it is certainly a concern that warrants attention. It’s not an existential threat to Bitcoin, as the majority of the network still runs up-to-date software. However, it does represent a non-trivial portion of the network that could cause issues or be exploited under certain circumstances.

差し迫った重大な問題ではありませんが、注意が必要な懸念であることは確かです。ネットワークの大部分は依然として最新のソフトウェアを実行しているため、これはビットコインにとって存続の脅威ではありません。ただし、これは、問題を引き起こしたり、特定の状況下で悪用される可能性のあるネットワークの重要な部分を表します。

This highlights a need for better communication and incentives within the Bitcoin community to encourage more frequent updates.

これは、より頻繁な更新を促進するために、ビットコインコミュニティ内でのより良いコミュニケーションとインセンティブの必要性を浮き彫りにしています。

Risks for active Bitcoin nodes

アクティブなビットコインノードのリスク

According to the disclosure, the most widespread vulnerability affected versions prior to 0.21.0, potentially impacting 787 nodes. This flaw could enable censorship of unconfirmed transactions and cause netsplits due to excessive time adjustments.

開示によると、最も広範囲に及ぶ脆弱性は 0.21.0 より前のバージョンに影響を及ぼし、787 ノードに影響を与える可能性があります。この欠陥により、未確認のトランザクションが検閲され、過度の時間調整によるネットスプリットが発生する可能性があります。

Three separate vulnerabilities affected versions before 0.20.0, each potentially impacting 182 nodes. These included a memory DoS from large inv-messages, a CPU-wasting DoS from malformed requests, and a memory-related crash when parsing BIP72 URIs.

3 つの個別の脆弱性が 0.20.0 より前のバージョンに影響し、それぞれ 182 ノードに影響を与える可能性があります。これには、大きな inv メッセージによるメモリの DoS、不正なリクエストによる CPU を浪費する DoS、BIP72 URI を解析する際のメモリ関連のクラッシュが含まれます。

An unbound ban list CPU/memory DoS vulnerability (CVE-2020-14198) affected versions prior to 0.20.1, putting 185 nodes at risk. Earlier versions were susceptible to other attacks, such as a CPU DoS and node stalling from orphan handling (before 0.18.0, affecting 70 nodes) and a memory DoS using low-difficulty headers (before 0.15.0, impacting 29 nodes).

バインドされていない禁止リストの CPU/メモリ DoS 脆弱性 (CVE-2020-14198) は 0.20.1 より前のバージョンに影響し、185 ノードが危険にさらされました。以前のバージョンは、孤立処理による CPU DoS およびノー​​ド ストール (0.18.0 より前、70 ノードに影響) や、低難易度のヘッダーを使用したメモリ DoS (0.15.0 より前、29 ノードに影響) などの他の攻撃の影響を受けやすかった。

The oldest vulnerabilities disclosed included a remote code execution bug in miniupnpc (CVE-2015-6031) affecting versions before 0.11.1 and a node crash DoS from large messages (CVE-2015-3641) in versions prior to 0.10.1. These affected 22 and 5 nodes, respectively, indicating that very few are still running such outdated software.

開示された最も古い脆弱性には、0.11.1 より前のバージョンに影響を与える miniupnpc のリモート コード実行バグ (CVE-2015-6031) と、0.10.1 より前のバージョンにおける大きなメッセージによるノード クラッシュ DoS (CVE-2015-3641) が含まれていました。これらはそれぞれ 22 ノードと 5 ノードに影響を及ぼし、このような古いソフトウェアをまだ実行しているノードはほとんどないことを示しています。

New Bitcoin developer disclosure policy

新しいビットコイン開発者の情報開示ポリシー

The new policy categorizes vulnerabilities into four severity levels: low, medium, high, and critical. Low-severity bugs, which are difficult to exploit or have minimal impact, will be disclosed two weeks after a fixed version is released, with a pre-announcement made simultaneously.

新しいポリシーでは、脆弱性を低、中、高、重大の 4 つの重大度レベルに分類しています。悪用が難しい、または影響が最小限である低重大度のバグは、修正バージョンのリリースから 2 週間後に公開され、同時に事前発表が行われます。

Medium and high-severity bugs, which have more significant impacts, will be disclosed two weeks after the last affected release reaches its end-of-life (EOL), typically one year after the fixed version is first released. A pre-announcement will be made two weeks before disclosure. Critical bugs threatening the network’s integrity will require an ad-hoc disclosure procedure.

より深刻な影響を与える中および高重大度のバグは、影響を受ける最後のリリースがサポート終了 (EOL) に達してから 2 週間後、通常は修正バージョンが最初にリリースされてから 1 年後に公開されます。事前発表は公開の2週間前に行われます。ネットワークの完全性を脅かす重大なバグには、アドホックな開示手順が必要になります。

The policy will be implemented gradually. All vulnerabilities fixed in Bitcoin Core versions 0.21.0 and earlier will be disclosed immediately. In July, vulnerabilities fixed in version 22.0 will be disclosed, followed by those fixed in version 23.0 in August. This process will continue until all EOL versions have been addressed.

この政策は段階的に実施される予定だ。 Bitcoin Core バージョン 0.21.0 以前で修正されたすべての脆弱性は直ちに公開されます。 7 月にはバージョン 22.0 で修正された脆弱性が公開され、続いて 8 月にはバージョン 23.0 で修正された脆弱性が公開されます。このプロセスは、すべての EOL バージョンに対応するまで継続されます。

This initiative aims to set clear expectations for security researchers, incentivizing them to find and responsibly disclose vulnerabilities. By making security bugs available to a broader group of contributors, the policy seeks to prevent future issues and enhance the overall security of the Bitcoin network.

この取り組みは、セキュリティ研究者に明確な期待を設定し、脆弱性を発見して責任を持って開示するよう奨励することを目的としています。このポリシーは、より広範なグループの寄稿者がセキュリティ バグを利用できるようにすることで、将来の問題を防止し、ビットコイン ネットワーク全体のセキュリティを強化することを目指しています。

According to the Bitcoin Development Mailing List, the policy’s gradual adoption will allow the community to adjust and provide feedback on its impact.

ビットコイン開発メーリングリストによると、このポリシーが段階的に採用されることで、コミュニティはその影響について調整し、フィードバックを提供できるようになるという。

Node operators still using affected versions are strongly advised to upgrade to the latest release to mitigate these potential risks.

影響を受けるバージョンをまだ使用しているノード オペレータは、これらの潜在的なリスクを軽減するために最新リリースにアップグレードすることを強くお勧めします。