비트코인 핵심 개발자, 이전 소프트웨어 버전에 영향을 미치는 10가지 취약점 공개

최신 릴리스에서 수정된 취약점으로 인해 오래된 Bitcoin Core 버전을 실행하는 노드에 대한 다양한 공격이 허용되었을 수 있습니다.

Bitcoin Optech has disclosed a total of 10 vulnerabilities that have affected older versions of Bitcoin Core software, according to a report by CryptoSlate. These vulnerabilities, which have been fixed in more recent releases, could have enabled various attacks on nodes running outdated Bitcoin Core versions.

CryptoSlate의 보고서에 따르면 Bitcoin Optech는 이전 버전의 Bitcoin Core 소프트웨어에 영향을 미치는 총 10개의 취약점을 공개했습니다. 최신 릴리스에서 해결된 이러한 취약점으로 인해 오래된 Bitcoin Core 버전을 실행하는 노드에 대한 다양한 공격이 가능해졌습니다.

The disclosure of these vulnerabilities is significant considering that Bitcoin Core developers have recently introduced a new security disclosure policy with the aim of improving transparency and communication regarding vulnerabilities.

이러한 취약점의 공개는 비트코인 ​​코어 개발자가 최근 취약점에 관한 투명성과 의사소통을 개선할 목적으로 새로운 보안 공개 정책을 도입했다는 점을 고려하면 중요합니다.

In the past, the project has faced criticism for not adequately disclosing security-critical bugs to the public, leading to a perception that Bitcoin Core is largely bug-free.

과거에 이 프로젝트는 보안에 중요한 버그를 대중에게 적절하게 공개하지 않아 비트코인 ​​코어에 버그가 거의 없다는 인식을 갖게 되었다는 비판에 직면했습니다.

Libbitcoin developer Eric Voskuil, in a message to the Bitcoin mailing list, highlighted that this perception is misleading and could be dangerous, as it downplays the risks involved in running outdated software versions.

Libbitcoin 개발자 Eric Voskuil은 Bitcoin 메일링 리스트에 보낸 메시지에서 이러한 인식은 오래된 소프트웨어 버전 실행과 관련된 위험을 경시하기 때문에 오해의 소지가 있고 위험할 수 있음을 강조했습니다.

Active Bitcoin node vulnerabilities

활성 비트코인 ​​노드 취약점

CryptoSlate has analyzed active Bitcoin nodes to assess how many are currently vulnerable to each attack vector. Out of 14,001 nodes, roughly 787 (5.94%) are running versions older than 0.21.0.

CryptoSlate는 활성 비트코인 ​​노드를 분석하여 현재 각 공격 벡터에 취약한 노드 수를 평가했습니다. 14,001개 노드 중 대략 787개(5.94%)가 0.21.0 이전 버전을 실행하고 있습니다.

While the network remains secure and largely protected against any meaningful attacks, this figure is significant enough to be considered a problem that the Bitcoin community may need to address.

네트워크는 보안을 유지하고 의미 있는 공격으로부터 대부분 보호되지만, 이 수치는 비트코인 ​​커뮤니티가 해결해야 할 문제로 간주될 만큼 충분히 중요합니다.

Efforts can be made to encourage these node operators to upgrade to newer versions in order to enhance the Bitcoin network’s overall security, efficiency, and future readiness.

비트코인 네트워크의 전반적인 보안, 효율성 및 미래 준비성을 향상시키기 위해 이러한 노드 운영자가 최신 버전으로 업그레이드하도록 장려하기 위한 노력이 이루어질 수 있습니다.

Although not an immediate critical issue, it is certainly a concern that warrants attention. It’s not an existential threat to Bitcoin, as the majority of the network still runs up-to-date software. However, it does represent a non-trivial portion of the network that could cause issues or be exploited under certain circumstances.

당장 당장 심각한 문제는 아니지만 주의를 기울여야 할 문제임은 분명합니다. 네트워크의 대부분이 여전히 최신 소프트웨어를 실행하고 있기 때문에 비트코인에 대한 실존적 위협은 아닙니다. 그러나 이는 특정 상황에서 문제를 일으키거나 악용될 수 있는 네트워크의 중요한 부분을 나타냅니다.

This highlights a need for better communication and incentives within the Bitcoin community to encourage more frequent updates.

이는 더 빈번한 업데이트를 장려하기 위해 비트코인 ​​커뮤니티 내에서 더 나은 의사소통과 인센티브가 필요함을 강조합니다.

Risks for active Bitcoin nodes

활성 비트코인 ​​노드의 위험

According to the disclosure, the most widespread vulnerability affected versions prior to 0.21.0, potentially impacting 787 nodes. This flaw could enable censorship of unconfirmed transactions and cause netsplits due to excessive time adjustments.

공개된 내용에 따르면 가장 널리 퍼진 취약점은 0.21.0 이전 버전에 영향을 미쳐 잠재적으로 787개 노드에 영향을 미칠 수 있습니다. 이 결함으로 인해 확인되지 않은 거래에 대한 검열이 가능해지고 과도한 시간 조정으로 인해 넷분할이 발생할 수 있습니다.

Three separate vulnerabilities affected versions before 0.20.0, each potentially impacting 182 nodes. These included a memory DoS from large inv-messages, a CPU-wasting DoS from malformed requests, and a memory-related crash when parsing BIP72 URIs.

세 가지 별도의 취약점이 0.20.0 이전 버전에 영향을 미쳤으며 각각 잠재적으로 182개 노드에 영향을 미칩니다. 여기에는 대규모 inv 메시지로 인한 메모리 DoS, 잘못된 요청으로 인한 CPU 낭비 DoS, BIP72 URI 구문 분석 시 메모리 관련 충돌이 포함됩니다.

An unbound ban list CPU/memory DoS vulnerability (CVE-2020-14198) affected versions prior to 0.20.1, putting 185 nodes at risk. Earlier versions were susceptible to other attacks, such as a CPU DoS and node stalling from orphan handling (before 0.18.0, affecting 70 nodes) and a memory DoS using low-difficulty headers (before 0.15.0, impacting 29 nodes).

바인딩되지 않은 금지 목록 CPU/메모리 DoS 취약점(CVE-2020-14198)은 0.20.1 이전 버전에 영향을 미쳐 185개 노드를 위험에 빠뜨립니다. 이전 버전은 CPU DoS 및 고아 처리로 인한 노드 정지(0.18.0 이전, 70개 노드에 영향), 난이도가 낮은 헤더를 사용하는 메모리 DoS(0.15.0 이전, 29개 노드에 영향)와 같은 다른 공격에 취약했습니다.

The oldest vulnerabilities disclosed included a remote code execution bug in miniupnpc (CVE-2015-6031) affecting versions before 0.11.1 and a node crash DoS from large messages (CVE-2015-3641) in versions prior to 0.10.1. These affected 22 and 5 nodes, respectively, indicating that very few are still running such outdated software.

공개된 가장 오래된 취약점에는 0.11.1 이전 버전에 영향을 미치는 miniupnpc(CVE-2015-6031)의 원격 코드 실행 버그와 0.10.1 이전 버전의 대규모 메시지로 인한 노드 충돌 DoS(CVE-2015-3641)가 포함되어 있습니다. 이는 각각 22개 및 5개의 노드에 영향을 미쳤으며, 이는 여전히 이러한 오래된 소프트웨어를 실행하는 사람이 거의 없음을 나타냅니다.

New Bitcoin developer disclosure policy

새로운 비트코인 ​​개발자 공개 정책

The new policy categorizes vulnerabilities into four severity levels: low, medium, high, and critical. Low-severity bugs, which are difficult to exploit or have minimal impact, will be disclosed two weeks after a fixed version is released, with a pre-announcement made simultaneously.

새로운 정책은 취약점을 낮음, 중간, 높음, 심각의 네 가지 심각도 수준으로 분류합니다. 악용하기 어렵거나 영향이 미미한 심각도가 낮은 버그는 수정된 버전이 출시된 후 2주 후에 사전 공지와 동시에 공개됩니다.

Medium and high-severity bugs, which have more significant impacts, will be disclosed two weeks after the last affected release reaches its end-of-life (EOL), typically one year after the fixed version is first released. A pre-announcement will be made two weeks before disclosure. Critical bugs threatening the network’s integrity will require an ad-hoc disclosure procedure.

더 심각한 영향을 미치는 중간 및 높은 심각도 버그는 영향을 받은 마지막 릴리스가 수명 종료(EOL)에 도달한 지 2주 후에 공개됩니다. 일반적으로 수정된 버전이 처음 릴리스된 지 1년 후입니다. 공개 2주 전에 사전 공지를 하겠습니다. 네트워크의 무결성을 위협하는 심각한 버그에는 임시 공개 절차가 필요합니다.

The policy will be implemented gradually. All vulnerabilities fixed in Bitcoin Core versions 0.21.0 and earlier will be disclosed immediately. In July, vulnerabilities fixed in version 22.0 will be disclosed, followed by those fixed in version 23.0 in August. This process will continue until all EOL versions have been addressed.

해당 정책은 점진적으로 시행될 예정이다. Bitcoin Core 버전 0.21.0 및 이전 버전에서 수정된 모든 취약점은 즉시 공개됩니다. 7월에는 버전 22.0에서 수정된 취약점이 공개되고, 8월에는 버전 23.0에서 수정된 취약점이 공개될 예정입니다. 이 프로세스는 모든 EOL 버전이 해결될 때까지 계속됩니다.

This initiative aims to set clear expectations for security researchers, incentivizing them to find and responsibly disclose vulnerabilities. By making security bugs available to a broader group of contributors, the policy seeks to prevent future issues and enhance the overall security of the Bitcoin network.

이 이니셔티브의 목적은 보안 연구원들에게 명확한 기대치를 설정하고 그들이 취약점을 찾아 책임감 있게 공개하도록 장려하는 것입니다. 더 광범위한 기여자 그룹이 보안 버그를 사용할 수 있도록 함으로써 정책은 향후 문제를 방지하고 비트코인 ​​네트워크의 전반적인 보안을 강화하려고 합니다.

According to the Bitcoin Development Mailing List, the policy’s gradual adoption will allow the community to adjust and provide feedback on its impact.

비트코인 개발 메일링 리스트에 따르면, 정책의 점진적인 채택을 통해 커뮤니티는 그 영향에 대한 피드백을 조정하고 제공할 수 있을 것입니다.

Node operators still using affected versions are strongly advised to upgrade to the latest release to mitigate these potential risks.

여전히 영향을 받는 버전을 사용하고 있는 노드 운영자는 이러한 잠재적 위험을 완화하기 위해 최신 릴리스로 업그레이드하는 것이 좋습니다.