Wird Linux-Fehler beenden Bitcoiners anfällig für Angriffe?

Ein Sicherheitsfehler in einem Schlüssel-Kryptographie-Programm wurde im Linux-GnuTLS-Paket, einer optionalen Komponente für Drittanbieter-Bitcoin- und Altcoin-Client-Anwendungen, aufgedeckt.

Die gnuTLS SSL-Bibliothek ist in vielen Open-Source-Paketen enthalten, wie zB in Red Hat, Ubuntu und Debian-Distributionen von Linux.

Ursprünglich bei einem Audit von GnuTLS für Red Hat entdeckt, sind die Auswirkungen des Fehlers für Entwickler weitreichend.

Erklärt Ars Technica in seinem Bericht:

"[Die] Angriffe umgehen die am weitesten verbreitete Technologie, um das Lauschen im Internet zu verhindern, dank einer äußerst kritischen Schwachstelle in einer weit verbreiteten kryptographischen Codebibliothek . "

Der Fehler, der Quelle erklärt, ist das Ergebnis von Befehlen in einem Abschnitt des gnuTLS-Codes, der die Zertifikatsüberprüfung verarbeitet. Schätzungen zufolge hätte der Fehler bis zum Jahr 2005 eingeführt werden können, obwohl er am 4. März entdeckt wurde.

Darüber hinaus könnten mehr als 200 verschiedene Betriebssysteme und Apps betroffen sein.

GnuTLS-Bug WIRKLICH BAD: Umgehung SSL, TLS über 200 verschiedene Betriebssysteme, Apps, die auf GnuTLS für SSL- und TLS-Operationen angewiesen sind: // t. Co / Tj7nA9R0ih

- Team Cymru (@teamcymru) 5. März 2014

Der Fehler, der Fehler mit mehreren "goto cleanup" -Aufrufen beinhaltet, ist potenziell gefährlich, da es effektiv jemandem einen "Mann in der Mitte ausführen kann Angriff ", durch die verschlüsselte Kommunikation zwischen einem Client und dem Webserver mit speziell gestalteten Zertifikaten genutzt werden kann.

Schrieb Red Hat in seiner Einschätzung:

"Ein Angreifer könnte diesen Fehler nutzen, um ein speziell gestaltetes Zertifikat zu erstellen, das von gnuTLS als gültig für eine vom Angreifer gewählte Seite akzeptiert werden könnte 999> Auswirkungen auf Bitcoin-Benutzer

Trotz des Alarms hat der Bug in der breiteren Tech-Community aufgewachsen, Bitcoin-Lead-Entwickler Jeff Garzik sagte CoinDesk, dass das Problem unwahrscheinlich ist, dass es einen erheblichen Einfluss auf Bitcoin hat, obwohl einige betroffen sein werden.

Garzik:

Garzik: Garzik: Garzik: Garzik: Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, Garzik, mit anderen konkurrierenden Bibliotheken für Key Software, wie z. B. GnuTLS.

Er stellte auch fest, dass Projekte mit OpenSSL, Mozilla NSS, Crypto ++ oder einer anderen Kryptobibliothek nicht vom Bug betroffen sind. Jeder, der Bitcoind gegen dieses SSL-Paket kompiliert hat, würde jedoch eine Implementierung haben, die anfällig war, stellte er fest.

Ankur Nandwani, ein Entwickler bei Bitmonet, schlug vor, gehostete Brieftaschenbenutzer und die Benutzer von Bitcoin-Börsen würden am meisten betroffen sein, aber erklärte, dass es einfache Schutzmaßnahmen gibt, um Probleme zu vermeiden.

"In beiden Fällen kann ein Angreifer Benutzer Anmeldeinformationen schnüffeln, wenn Benutzer versuchen, sich auf ihrem Konto anzumelden.Um die Wahrscheinlichkeit von Online-Brieftaschen zu reduzieren und die Anmeldeinformationen von der Kompromittierung zu tauschen, ist es wirklich wichtig, dass jeder die Zwei-Faktor-Authentifizierung verwendet. "

Nandwani sagte, dass der Bug ein Beweis dafür ist, dass Bitcoin-Nutzer ihre Abhängigkeit von Online-Brieftaschen und den Austausch reduzieren sollten.

Implementierung eines Fixes

Das GnuTLS-Team hat seitdem ein Update angekündigt, um den Fehler zu melden, ein Bitcoin- und Altcoin-Benutzer und Entwickler, die das Update benötigen, können jetzt aktualisieren. Red Hat hat gezeigt, dass gnuTLS-Benutzer ihre Pakete aktualisieren sollten um das Problem zu beheben und anzugeben, dass alle Anwendungen, die mit der gnuTLS-Bibliothek verknüpft sind, neu gestartet werden müssen, damit das Update stattfindet.

Obwohl Fehler in Version 3 gelöst sind, sind sie immer noch unter denjenigen der Öffentlichkeit zu verweilen hat einen Vergleich mit anderen extremen Fehlern in der Codierung der Fehlergeschichte aufgerufen.

Gnu hat einen noch schlimmeren Netzwerk-Sicherheitsfehler als Apple ... und seit 2005 ... // t. co / iiuxG10XdK

- JoergR (@JoergR) März 5, 2014 <99 9> Für die vollständige Erläuterung des Fehlers und wie Sie vorgehen, wenn Sie betroffen sind, klicken Sie hier.

Image-Gutschrift:

Computer-Code über Shutterstock

Der Führer in Blockchain News, CoinDesk ist eine unabhängige Medien-Steckdose, die nach den höchsten journalistischen Standards strebt und sich an eine strenge Reihe von redaktionellen Richtlinien hält. Haben Sie Neuigkeiten oder einen Story-Tipp, um unsere Journalisten zu schicken? Kontaktieren Sie uns unter news @ coindesk. com