Сделает ли уязвимость Linux уязвимыми для атак биткойнеров?

В пакете Linux gnuTLS, дополнительном компоненте для сторонних клиентских приложений Bitcoin и альткоинов, была обнаружена уязвимость безопасности ключевой криптографической программы.

Библиотека gnuTLS SSL включена во многие пакеты с открытым исходным кодом, например, в дистрибутивы Linux Red Hat, Ubuntu и Debian.

Первоначально обнаруженво время аудитаgnuTLS для Red Hat, последствия этой уязвимости имеют далеко идущие последствия для разработчиков.

ОбъясненоArs Technica в своем отчете:

«[Эти] атаки обходят наиболее широко используемую Технологии предотвращения прослушивания в Интернете благодаря чрезвычайно серьезной уязвимости в широко используемой библиотеке криптографического кода».

Источник поясняет, что ошибка является результатом команд в разделе кода gnuTLS, которые обрабатывают проверку сертификатов. Оценки показывают, что ошибка могла быть введена еще в 2005 году, хотя она была обнаружена4 марта.

Кроме того, могут быть затронуты более 200 различных операционных систем и приложений.

Ошибка GnuTLS ДЕЙСТВИТЕЛЬНО СЕРЬЕЗНАЯ: обход SSL, TLS более 200 различных ОС, приложения, которые полагаются на GnuTLS для операций SSL и TLS<a href="http://t.co/Tj7nA9R0ih">T</a>





— Команда Cymru (@teamcymru) 5 марта 2014 г.

Уязвимость, которая связана с ошибками в нескольких вызовах «goto cleanup», потенциально опасна, поскольку она фактически позволяет кому-то выполнить «атаку посредника», с помощью которой зашифрованные соединения между клиентом и веб-сервером могут быть использованы с помощью специально созданных сертификатов.

Red Hat в своей оценке написала:

«Злоумышленник может использовать эту уязвимость для создания специально созданного сертификата, который может быть принят gnuTLS как действительный для сайта, выбранного злоумышленником».

Влияние на пользователей Bitcoin

Несмотря натревога, которую подняла ошибкаВ более широком технологическом сообществе ведущий разработчик Bitcoin Джефф Гарзик заявил CoinDesk , что эта проблема вряд ли окажет существенное влияние на Bitcoin, хотя некоторые пострадают.

Гарзик объяснил:

«Ошибка gnuTLS довольно серьезная, но в сообществе Bitcoin очень немногие используют gnuTLS. OpenSSL — это стандарт».

Гарзик указал, что использование OpenSSL снижает риск форка, который присутствует при использовании других конкурирующих библиотек для ключевого программного обеспечения, например gnuTLS.

Он также заявил, что проекты, использующие OpenSSL, Mozilla NSS, Crypto++ или другую Криптo библиотеку, не затронуты этой ошибкой. Однако любой, кто скомпилировал Bitcoind с этим пакетом SSL, имел бы реализацию, которая была бы уязвима, отметил он.

Анкур Нандвани, разработчик Битмонет, предположил, что больше всего пострадают пользователи хостинговых кошельков и пользователи Bitcoin -бирж, но заявил, что существуют простые меры защиты для предотвращения проблем.

«В обоих случаях злоумышленник может перехватить учетные данные пользователей, когда пользователи пытаются войти в свою учетную запись. Чтобы снизить вероятность компрометации учетных данных онлайн-кошельков и бирж, очень важно, чтобы все использовали двухфакторную аутентификацию».

Нандвани заявил, что ошибка свидетельствует о том, что пользователям Bitcoin следует сократить свою зависимость от онлайн-кошельков и бирж.

Внедрение исправления

Команда gnuTLS имеетс момента объявления обновление для устранения уязвимости, пользователи ONE и альткойнов , а также разработчики, которым необходимо исправление, теперь могут обновиться. Red Hat указала, что пользователи gnuTLS должны обновить свои пакеты, чтобы исправить проблему, и указала, что все приложения, связанные с библиотекой gnuTLS, должны быть перезапущены для выполнения обновления.

Хотя ошибки были устранены в версии 3.2.12, они все еще встречаются в общедоступных источниках, что вызывает сравнения с другими серьезными ошибками в истории кодирования.

У Gnu есть еще более серьезная уязвимость сетевой безопасности, чем у Apple... А с 2005 года...<a href="http://t.co/iiuxG10XdK">T</a>

— ЙоргР (@JoergR)5 марта 2014 г.

Для получения полного объяснения ошибки и того, как действовать, если она вас коснулась,кликните сюда.

Изображение предоставлено:Компьютерный кодчерез Shutterstock