Версія Bitcoin CORE 0.9.1 виправляє вразливість Heartbleed

Bitcoin CORE версії 0.9.1

вийшов і усунув уразливість Heartbleed OpenSSL, також відому як CVE-2014-0160. Уразливість була виправлена ​​основними біржами Bitcoin за лічені години.

Якщо ви пропустили це, Heartbleed є досить великою справою в спільноті безпеки. Помилка Крипто в OpenSSL (реалізація протоколів безпеки Інтернету SSL і TLS з відкритим кодом, які шифрують і захищають інтернет-трафік) відкрила дві третини Інтернету для прослуховування. Це було розкрито на початку цього тижня і багато спостерігачів описали це як не що інше, як катастрофа.

Bitcoin гравці QUICK звертаються до Heartbleed

На щастя, ця новина швидко переросла в дії в галузі: виправлення впроваджуються по всьому світу, поки ми говоримо.

Bitcoin -біржі

хакери щодня атакують гаманці, тому серйозні Bitcoin -підрозділи KEEP експлойти нульового дня, нові вектори атак і безліч інших уразливостей.

The Bitcoin CORE Команда каже, що версія 0.9.1 є випуском для обслуговування, щоб виправити нагальну вразливість (тобто Heartbleed), і всім користувачам слід оновити якомога швидше. Більшість прислухалися до заклику, і в результаті переважна більшість великих Bitcoin сайтів і бірж запровадили виправлення.

Що таке Heartbleed?

OpenSSL є найпопулярнішою бібліотекою коду для шифрування HTTPS. Він не використовується Microsoft IIS, тому системи на базі Windows не можуть безпосередньо впливати.

Хоча це хороша новина для більшості користувачів настільних комп’ютерів, ІТ-відділи воліли б, щоб це було навпаки. OpenSSL використовується в Linux, BSD і багатьох користувацьких серверних платформах. Mac OS X також впливає. Помилка також не впливає на всі версії OpenSSL. Деякі великі банки, такі як Chase і Schwab, покладаються на Microsoft IIS. Інші покладаються на Linux/Apache, Java та інші системи.

Ars Technica

повідомляє, що помилка є результатом «звичайної помилки кодування» в OpenSSL. Ця помилка фактично дозволяє зловмисникам отримати доступ до фрагментів приватної пам’яті комп’ютера, яка обробляє процес OpenSSL.

Вміст зазначених фрагментів пам’яті може включати облікові дані автентифікації або навіть закриті ключі, які можуть підірвати весь криптографічний сертифікат веб-сайту.

Тому операторам веб-сайтів потрібно встановити на своїх серверах OpenSSL версії 1.0.1g і оновити сертифікати безпеки. Проблема в тому, що патч OpenSSL — це лише перший крок. Користувачам слід подумати про заміну своїх сертифікатів X.509 після застосування оновлення OpenSSL.

Усім адміністраторам і користувачам рекомендовано змінити свої паролі як запобіжний захід, оскільки активність безслідна, а такий масштаб уразливості є безпрецедентним у OpenSSL.