Ang Kapintasan ba ng Linux ay Iiwan ang mga Bitcoiner na Masugatan sa Mga Pag-atake?

Ang isang depekto sa seguridad sa isang pangunahing cryptographic na programa ay nahayag sa Linux gnuTLS package, isang opsyonal na bahagi para sa mga application ng third-party Bitcoin at altcoin client.

Ang library ng gnuTLS SSL ay kasama sa maraming open-source na mga pakete tulad ng mga nasa Red Hat, Ubuntu at Debian na mga pamamahagi ng Linux.

Orihinal na natuklasan sa panahon ng pag-audit ng gnuTLS para sa Red Hat, ang mga epekto ng kapintasan ay malawak na naaabot para sa mga developer.

Ipinaliwanag Ars Technica sa ulat nito:

"[Ang] mga pag-atake ay umiiwas sa pinakamalawak na ginagamit Technology upang maiwasan ang pag-eavesdrop sa Internet, salamat sa isang lubhang kritikal na kahinaan sa isang malawakang ginagamit na cryptographic code library."

Ang bug, paliwanag ng source, ay resulta ng mga command sa isang seksyon ng gnuTLS code na humahawak sa pag-verify ng certificate. Iminumungkahi ng mga pagtatantya na ang error ay maaaring ipinakilala noong 2005, kahit na natuklasan ito noong ika-4 ng Marso.

Dagdag pa, maaaring maapektuhan ang mahigit 200 iba't ibang operating system at app.

TALAGANG MASAMA ang GnuTLS bug: i-bypass ang SSL, TLS sa mahigit 200 iba't ibang OS, Mga app na umaasa sa GnuTLS para sa mga pagpapatakbo ng SSL at TLS <a href="http://t.co/Tj7nA9R0ih">http:// T.co/Tj7nA9R0ih</a>





— Team Cymru (@teamcymru) Marso 5, 2014

Ang depekto, na kinasasangkutan ng mga error sa ilang "goto cleanup" na mga tawag, ay potensyal na mapanganib dahil epektibong nagbibigay-daan ito sa isang tao na magsagawa ng "man in the middle attack", kung saan ang mga naka-encrypt na komunikasyon sa pagitan ng isang kliyente at ng web server ay maaaring mapagsamantalahan ng mga espesyal na ginawang certificate.

Sumulat ng Red Hat sa pagtatasa nito:

"Maaaring gamitin ng isang umaatake ang kapintasan na ito upang lumikha ng isang espesyal na ginawang sertipiko na maaaring tanggapin ng gnuTLS bilang wasto para sa isang site na pinili ng umaatake."

Epekto sa mga gumagamit ng Bitcoin

Sa kabila ang alarma na itinaas ng bugsa mas malawak na komunidad ng tech, sinabi ng developer ng Bitcoin na si Jeff Garzik sa CoinDesk na ang isyu ay malabong magkaroon ng malaking epekto sa Bitcoin, kahit na ang ilan ay maaapektuhan.

Ipinaliwanag ni Garzik:

"Ang gnuTLS bug ay medyo masama, ngunit kakaunti ang gumagamit ng gnuTLS sa komunidad ng Bitcoin . Ang OpenSSL ay karaniwan."

Ipinahiwatig ni Garzik na ang paggamit ng OpenSSL ay nagpapagaan ng panganib sa fork na naroroon kapag gumagamit ng iba pang nakikipagkumpitensyang mga aklatan para sa pangunahing software, gaya ng gnuTLS.

Sinabi rin niya na ang mga proyektong gumagamit ng OpenSSL, Mozilla NSS, Crypto++ o ibang Crypto library ay hindi apektado ng bug. Ang sinumang nag-compile ng Bitcoind laban sa SSL package na ito, gayunpaman, ay magkakaroon ng isang pagpapatupad na mahina, sinabi niya.

Ankur Nandwani, isang developer sa Bitmonet, ang mga iminungkahing naka-host na gumagamit ng wallet at ang mga gumagamit ng Bitcoin exchange ay higit na maaapektuhan, ngunit nakasaad na may mga madaling proteksyon upang maiwasan ang mga isyu.

"Sa parehong mga kaso, maaaring singhutin ng isang attacker ang mga kredensyal ng mga user, kapag sinusubukan ng mga user na mag-log-in sa kanilang account. Upang bawasan ang posibilidad na makompromiso ang mga online na wallet at makipagpalitan ng mga kredensyal, talagang mahalaga na gumamit ang lahat ng two-factor authentication."

Sinabi ni Nandwani na ang bug ay katibayan na dapat bawasan ng mga gumagamit ng Bitcoin ang kanilang pag-asa sa mga online na wallet at palitan.

Pagpapatupad ng pag-aayos

Ang pangkat ng gnuTLS ay mayroon mula nang ipahayag isang update sa account para sa kapintasan, ONE Bitcoin at altcoin user at developer na nangangailangan ng pag-aayos ay maaari na ngayong mag-upgrade sa. Isinaad ng Red Hat na dapat i-upgrade ng mga user ng gnuTLS ang kanilang mga package para itama ang isyu, at ipinahiwatig na ang lahat ng application na naka-link sa library ng gnuTLS ay dapat na i-restart para maganap ang update.

Bagama't naresolba ang mga pagkakamali sa bersyon 3.2.12, nananatili pa rin ang mga ito sa mga nasa publiko, na nagdulot ng mga paghahambing sa iba pang matinding error sa kasaysayan ng coding flaw.

Ang Gnu ay may mas malala pang networking security flaw kaysa Apple had... At mula noong 2005... <a href="http://t.co/iiuxG10XdK">http:// T.co/iiuxG10XdK</a>





— JoergR (@JoergR) Marso 5, 2014

Para sa buong paliwanag ng error at kung paano magpatuloy kung apektado ka, i-click dito.

Credit ng larawan: Code ng computer sa pamamagitan ng Shutterstock