Новости за: 28.04.2025 #злоумышленник ×
#19 Уязвимость CVE-2024-52919: удалённый сбой из-за спама сообщений addr (часть 2).
Обнаружена уязвимость, приводящая к сбою при непрерывной отправке сообщений `addr` узлу в течение длительного времени (годы). Исправление выпущено 14 апреля 2025 года в Bitcoin Core v29.0.
Проблема считается низкой степени серьезности.
Уязвимость связана с 32-битным идентификатором в менеджере адресов, увеличивающимся при каждом добавлении. Это позволяло злоумышленнику удаленно вызвать ошибку, засоряя узел сообщениями `addr` до переполнения идентификатора.
В Bitcoin Core v22.0 была реализована защита, ограничивающая количество добавляемых адресов до одного в 10 секунд на одного пиринга. Это значительно удорожило атаку.
В Bitcoin Core v29.0 идентификатор был увеличен до 64-битного.
Благодарность Юджину Зигелю за обнаружение и публикацию информации, и Мартину Цумзанде за изменение идентификатора.
Проблема считается низкой степени серьезности.
Уязвимость связана с 32-битным идентификатором в менеджере адресов, увеличивающимся при каждом добавлении. Это позволяло злоумышленнику удаленно вызвать ошибку, засоряя узел сообщениями `addr` до переполнения идентификатора.
В Bitcoin Core v22.0 была реализована защита, ограничивающая количество добавляемых адресов до одного в 10 секунд на одного пиринга. Это значительно удорожило атаку.
В Bitcoin Core v29.0 идентификатор был увеличен до 64-битного.
Благодарность Юджину Зигелю за обнаружение и публикацию информации, и Мартину Цумзанде за изменение идентификатора.