Bitcoin CORE Bersyon 0.9.1 Inaayos ang Heartbleed Vulnerability

Bitcoin CORE Bersyon 0.9.1

ay wala na at natugunan nito ang kahinaan ng Heartbleed OpenSSL, na kilala rin bilang CVE-2014-0160. Ang kahinaan ay na-patched ng mga pangunahing Bitcoin exchange sa loob ng ilang oras.

Kung sakaling napalampas mo ito, ang Heartbleed ay isang malaking bagay sa komunidad ng seguridad. Ang Crypto bug sa OpenSSL (isang open-source na pagpapatupad ng SSL at TLS na mga protocol ng seguridad sa internet na nag-e-encrypt at nagse-secure ng trapiko sa internet) ay nagbukas ng dalawang-katlo ng web para sa pag-eavesdrop. Ito ay natuklasan mas maaga nitong linggo at inilarawan ito ng maraming tagamasid bilang walang kulang sa sakuna.

QUICK na natugunan ng mga manlalaro ng Bitcoin ang Heartbleed

Sa kabutihang palad, ang balita ay mabilis na naisalin sa buong industriya na pagkilos: ang mga patch ay ipinapatupad sa buong mundo habang nagsasalita kami.

Mga palitan ng Bitcoin

at ang mga wallet ay tinatarget ng mga hacker araw-araw, kaya KEEP ng mga seryosong Bitcoin outfit ang mga zero day na pagsasamantala, mga bagong attack vector at maraming iba pang mga kahinaan.

Ang Bitcoin CORE sabi ng team na ang bersyon 0.9.1 ay isang maintenance release para ayusin ang isang agarang kahinaan (ibig sabihin, Heartbleed), at lahat ng user ay dapat mag-upgrade sa lalong madaling panahon. Karamihan ay nakinig sa panawagan at bilang isang resulta ang karamihan sa mga pangunahing Bitcoin site at palitan ay nagpatupad ng pag-aayos.

Ano ang tungkol sa Heartbleed?

Ang OpenSSL ay ang pinakasikat na library ng code para sa pag-encrypt ng HTTPS. Hindi ito ginagamit ng Microsoft IIS, kaya hindi direktang maapektuhan ang mga sistemang nakabatay sa Windows.

Bagama't magandang balita ito para sa karamihan ng mga gumagamit ng desktop doon, mas gugustuhin ng mga kagawaran ng IT na magkabalikan ito. Ginagamit ang OpenSSL sa Linux, BSD at maraming custom na platform ng server. Ang Mac OS X ay apektado din. Ang bug ay hindi nakakaapekto sa lahat ng mga bersyon ng OpenSSL, alinman. Ang ilang mga pangunahing bangko tulad ng Chase at Schwab ay umaasa sa Microsoft IIS. Ang iba ay umaasa sa Linux/Apache, Java at iba pang mga system.

Ars Technica

iniulat na ang bug ay resulta ng isang "mundane coding error" sa OpenSSL. Ang bug ay talagang nagbibigay-daan sa mga umaatake na makakuha ng access sa mga chunks ng pribadong memorya ng computer na humahawak sa proseso ng OpenSSL.

Ang mga nilalaman ng nasabing memory chunks ay maaaring magsama ng mga kredensyal sa pagpapatotoo o kahit na mga pribadong key na maaaring makasira sa buong cryptographic certificate ng website.

Samakatuwid, kailangang i-patch ng mga operator ng website ang kanilang mga server sa bersyon ng OpenSSL 1.0.1g at i-update ang kanilang mga sertipiko ng seguridad. Ang problema ay ang OpenSSL patch ay ang unang hakbang lamang. Kailangang isipin ng mga user ang tungkol sa pagpapalit ng kanilang mga X.509 na certificate sa sandaling ilapat nila ang pag-update ng OpenSSL.

Pinapayuhan ang lahat ng admin at user na baguhin ang kanilang mga password bilang pag-iingat dahil ang aktibidad ay walang bakas, at ang antas ng kahinaan na ito ay hindi pa nagagawa sa OpenSSL.