Trending News

BTC
$16,949.00
-0.94
ETH
$1,274.82
-0.7
LTC
$76.41
-0.83
DASH
$45.02
+1.54
XMR
$144.33
+0.92
NXT
$0.00
-6.45
ETC
$19.48
-2.21

गेथ सुरक्षा रिलीज | एथेरियम फाउंडेशन ब्लॉग

0


सारांश

के संस्करण गेथो गो के साथ बनाया गया <1.15.5 या <1.14.12 एक महत्वपूर्ण DoS- संबंधित सुरक्षा भेद्यता से सबसे अधिक प्रभावित होने की संभावना है। गोलंग टीम ने इस खामी को ‘सीवीई-2020-28362’ के तौर पर दर्ज किया है।

हम सभी उपयोगकर्ताओं को पुनर्निर्माण करने की सलाह देते हैं (आदर्श रूप से v1.9.24) गो के साथ 1.15.5 या 1.14.12, नोड क्रैश से बचने के लिए। वैकल्पिक रूप से, यदि आप हमारे किसी आधिकारिक चैनल के माध्यम से वितरित बायनेरिज़ चला रहे हैं, तो हम रिलीज़ करने जा रहे हैं v1.9.24 खुद गो के साथ निर्मित 1.15.5.

लापता आधार छवि के कारण डॉकर छवियां संभवत: पुरानी हो जाएंगी, लेकिन आप अस्थायी रूप से गो के साथ एक बनाने के तरीके पर रिलीज नोट्स की जांच कर सकते हैं 1.15.5. कृपया दौड़ें गेथ संस्करण गो संस्करण को सत्यापित करने के लिए आपका बाइनरी बनाया गया था।

पार्श्वभूमि

अक्टूबर की शुरुआत में, गो-इथेरियम ने Google के में नामांकन किया ओएसएस-फज कार्यक्रम। हमने पहले फ़ज़र्स को एड-हॉक आधार पर निष्पादित किया था और कुछ अलग प्लेटफार्मों का परीक्षण किया था।

2020-10-24 को, हमें सूचित किया गया कि हमारे एक फ़ज़र को क्रैश मिल गया है।

जांच करने पर, यह पता चला कि इस मुद्दे का मूल कारण गो के मानक पुस्तकालयों में एक बग था, और इस मुद्दे को अपस्ट्रीम की सूचना दी गई थी।

को विशेष धन्यवाद एडम कोर्ज़िन्स्की ओएसएस-फ़ज़ में गो-एथेरियम के प्रारंभिक एकीकरण के लिए एडा लॉजिक्स का!

प्रभाव

ब्लॉक प्रोसेसिंग के दौरान सभी गेथ नोड्स को क्रैश करने के लिए DoS समस्या का उपयोग किया जा सकता है, जिसका प्रभाव यह होगा कि Ethereum नेटवर्क का एक बड़ा हिस्सा ऑफ़लाइन हो गया था।

गो-एथेरियम के बाहर, यह मुद्दा गेथ के सभी कांटे (जैसे टर्बोगेथ या ईटीसी के कोर-गेथ) के लिए सबसे अधिक प्रासंगिक है। एक व्यापक संदर्भ के लिए, हम अपस्ट्रीम का उल्लेख करेंगे, क्योंकि गो-टीम ने संभावित रूप से प्रभावित पक्षों की जांच की है।

समय

  • 2020-10-24: OSS-fuzz से क्रैश रिपोर्ट
  • 2020-10-25: जांच में पाया गया कि यह गो में खामी के कारण हुआ। विवरण भेजा गया सुरक्षा@golang.org
  • 2020-10-26: अपस्ट्रीम से पावती, जांच जारी
  • 2020-10-26 – 2020-11-06: संभावित सुधारों पर चर्चा हुई, संभावित रूप से प्रभावित पक्षों की अपस्ट्रीम जांच
  • 2020-11-06: अपस्ट्रीम 2020-11-12 के लिए अस्थायी रूप से निर्धारित फिक्स-रिलीज़
  • 2020-11-09: अपस्ट्रीम ने सुरक्षा रिलीज की पूर्व घोषणा की: https://groups.google.com/g/golang-announce/c/kMa3eup0qhU/m/O5RSMHO_CAAJ
  • 2020-11-11: आधिकारिक गेथ ट्विटर के माध्यम से आगामी रिलीज के बारे में उपयोगकर्ताओं को सूचित करें खाताहमारा आधिकारिक डिस्कॉर्ड-चैनल और reddit.
  • 2020-11-12: नया गो संस्करण जारी किया गया, और नया गेथो बायनेरिज़ जारी किए गए थे

अतिरिक्त मुद्दे

खनन दोष

एक और सुरक्षा मुद्दा हमारे ध्यान में लाया गया था यह जनसंपर्कजिसमें एथाश एल्गोरिथम के लिए एक फिक्स शामिल है।

खनन दोष के कारण खनिक आगामी युग में गलत तरीके से PoW की गणना कर सकते हैं। यह ईटीसी श्रृंखला पर 2020-11-06 को हुआ। ऐसा लगता है कि यह ब्लॉक के आसपास ईटीएच मेननेट के लिए एक मुद्दा होगा 11550000 / युग 385जो जनवरी 2021 की शुरुआत में होगा।

इस मुद्दे को भी के रूप में तय किया गया है 1.9.24. यह समस्या केवल खनिकों के लिए प्रासंगिक है, गैर-खनन नोड अप्रभावित हैं।

गेथ उथला कॉपी बग

प्रभावित: 1.9.71.9.16

हल किया गया: 1.9.17

प्रकार: आम सहमति भेद्यता

2020-07-15 को, जॉन यंगसोक यांग (सॉफ़्टवेयर प्लेटफ़ॉर्म लैब) ने गेथ में एक आम सहमति भेद्यता की सूचना दी।

गेथ का पूर्व-संकलित डेटाकॉपी(0x00…04) अनुबंध ने मंगलाचरण पर एक उथली प्रति की, जबकि पैरिटी ने एक गहरी प्रति की। एक हमलावर एक अनुबंध तैनात कर सकता है कि

  • लेखन एक्स एक ईवीएम मेमोरी क्षेत्र के लिए आर,
  • कॉल 0x00..04 साथ आर तर्क के रूप में,
  • अधिलेखित कर देता है आर प्रति यू,
  • और अंत में का आह्वान करता है वापसी की प्रति ओपकोड।
  • जब यह अनुबंध लागू किया जाता है, तो समानता धक्का देगी एक्स ईवीएम स्टैक पर, जबकि गेथ धक्का देगा यू.

परिणाम

ब्लॉक में एथेरियम मेननेट पर इसका फायदा उठाया गया था 11234873लेन-देन 0x57f7f9. नोड्स नेटवर्क से हटा दिया गया था, जिससे साइडचेन पर ~ 30 ब्लॉक खो गए थे। इसने इंफुरा को भी बंद कर दिया, जिससे बहुत से लोगों और सेवाओं के लिए समस्याएं पैदा हुईं, जो बैकएंड प्रदाता के रूप में इन्फुरा पर निर्भर थे।

अधिक संदर्भ में पाया जा सकता है गेथ पोस्टमॉर्टम तथा इंफुरा पोस्टमॉर्टम तथा यहां.

डीओएस इन .16 तथा .17

प्रभावित: v1.9.16,v1.9.17

हल किया गया: v1.9.18

प्रकार: ब्लॉक प्रोसेसिंग के दौरान DoS भेद्यता

एक DoS भेद्यता पाई गई, और इसमें तय की गई v1.9.18. हमने इस समय विवरण प्रकाशित नहीं करना चुना है।

सिफारिशों

अल्पावधि में, हम अनुशंसा करते हैं कि सभी उपयोगकर्ता . में अपग्रेड करें गेथो संस्करण v1.9.24 (जिसे Go . के साथ बनाया जाना चाहिए 1.15.5) तुरंत। आधिकारिक विज्ञप्ति मिल सकती है यहां.

यदि आप डॉकर के माध्यम से गेथ का उपयोग कर रहे हैं, तो कुछ समस्याएं हो सकती हैं। यदि आप उपयोग कर रहे हैं एथेरियम/क्लाइंट-गोइसके बारे में जागरूक होने के लिए दो चीजें हैं:

  1. डॉकर हब पर नई छवि दिखाई देने से पहले देरी हो सकती है।
  2. जब तक गो बेस छवियों को जल्दी से पर्याप्त रूप से नहीं बनाया गया है, तब तक एक मौका है कि वे ए . के साथ निर्मित हो जाएं चपेट में गो का संस्करण।

यदि आप स्वयं डॉकर चित्र बना रहे हैं, (के माध्यम से) डोकर निर्माण। रिपॉजिटरी रूट से), तो दूसरा मुद्दा आपके लिए भी समस्या पैदा कर सकता है।

तो यह सुनिश्चित करने के लिए सावधान रहें कि Go 1.15.5 आधार छवि के रूप में प्रयोग किया जाता है।

लंबी अवधि में, हम अनुशंसा करते हैं कि उपयोगकर्ता और खनिक वैकल्पिक ग्राहकों को भी देखें। यह हमारी मजबूत भावना है कि एथेरियम नेटवर्क का लचीलापन किसी एकल ग्राहक कार्यान्वयन पर निर्भर नहीं होना चाहिए। वहाँ है बेसु, नेदरमाइंड, ओपन एथेरियम तथा टर्बोगेथ और दूसरों को भी चुनने के लिए।

कृपया सुरक्षा कमजोरियों की रिपोर्ट करें https://bounty.ethereum.orgया के माध्यम से bounty@ethereum.org या के माध्यम से Security@ethereum.org.





Source link

Leave A Reply

Your email address will not be published.

Shares