Les développeurs Bitcoin Core révèlent 10 vulnérabilités affectant les anciennes versions de logiciels

Les vulnérabilités, corrigées dans des versions plus récentes, auraient pu permettre diverses attaques sur les nœuds exécutant des versions Bitcoin Core obsolètes.

Bitcoin Optech has disclosed a total of 10 vulnerabilities that have affected older versions of Bitcoin Core software, according to a report by CryptoSlate. These vulnerabilities, which have been fixed in more recent releases, could have enabled various attacks on nodes running outdated Bitcoin Core versions.

Bitcoin Optech a divulgué un total de 10 vulnérabilités affectant les anciennes versions du logiciel Bitcoin Core, selon un rapport de CryptoSlate. Ces vulnérabilités, qui ont été corrigées dans des versions plus récentes, auraient pu permettre diverses attaques sur les nœuds exécutant des versions Bitcoin Core obsolètes.

The disclosure of these vulnerabilities is significant considering that Bitcoin Core developers have recently introduced a new security disclosure policy with the aim of improving transparency and communication regarding vulnerabilities.

La divulgation de ces vulnérabilités est importante étant donné que les développeurs de Bitcoin Core ont récemment introduit une nouvelle politique de divulgation de sécurité dans le but d'améliorer la transparence et la communication concernant les vulnérabilités.

In the past, the project has faced criticism for not adequately disclosing security-critical bugs to the public, leading to a perception that Bitcoin Core is largely bug-free.

Dans le passé, le projet a été critiqué pour ne pas avoir divulgué de manière adéquate au public les bogues critiques pour la sécurité, ce qui a donné l'impression que Bitcoin Core est largement exempt de bogues.

Libbitcoin developer Eric Voskuil, in a message to the Bitcoin mailing list, highlighted that this perception is misleading and could be dangerous, as it downplays the risks involved in running outdated software versions.

Eric Voskuil, développeur de Libbitcoin, a souligné dans un message adressé à la liste de diffusion Bitcoin que cette perception est trompeuse et pourrait être dangereuse, car elle minimise les risques liés à l'exécution de versions logicielles obsolètes.

Active Bitcoin node vulnerabilities

Vulnérabilités actives des nœuds Bitcoin

CryptoSlate has analyzed active Bitcoin nodes to assess how many are currently vulnerable to each attack vector. Out of 14,001 nodes, roughly 787 (5.94%) are running versions older than 0.21.0.

CryptoSlate a analysé les nœuds Bitcoin actifs pour évaluer combien sont actuellement vulnérables à chaque vecteur d'attaque. Sur 14 001 nœuds, environ 787 (5,94 %) exécutent des versions antérieures à 0.21.0.

While the network remains secure and largely protected against any meaningful attacks, this figure is significant enough to be considered a problem that the Bitcoin community may need to address.

Bien que le réseau reste sécurisé et largement protégé contre toute attaque significative, ce chiffre est suffisamment important pour être considéré comme un problème que la communauté Bitcoin devra peut-être résoudre.

Efforts can be made to encourage these node operators to upgrade to newer versions in order to enhance the Bitcoin network’s overall security, efficiency, and future readiness.

Des efforts peuvent être faits pour encourager ces opérateurs de nœuds à passer à des versions plus récentes afin d'améliorer la sécurité globale, l'efficacité et la préparation future du réseau Bitcoin.

Although not an immediate critical issue, it is certainly a concern that warrants attention. It’s not an existential threat to Bitcoin, as the majority of the network still runs up-to-date software. However, it does represent a non-trivial portion of the network that could cause issues or be exploited under certain circumstances.

Même s’il ne s’agit pas d’un problème critique dans l’immédiat, il s’agit certainement d’une préoccupation qui mérite attention. Ce n'est pas une menace existentielle pour Bitcoin, car la majorité du réseau utilise toujours des logiciels à jour. Cependant, il représente une partie non négligeable du réseau qui pourrait poser des problèmes ou être exploitée dans certaines circonstances.

This highlights a need for better communication and incentives within the Bitcoin community to encourage more frequent updates.

Cela met en évidence la nécessité d’une meilleure communication et d’incitations au sein de la communauté Bitcoin pour encourager des mises à jour plus fréquentes.

Risks for active Bitcoin nodes

Risques pour les nœuds Bitcoin actifs

According to the disclosure, the most widespread vulnerability affected versions prior to 0.21.0, potentially impacting 787 nodes. This flaw could enable censorship of unconfirmed transactions and cause netsplits due to excessive time adjustments.

Selon la divulgation, la vulnérabilité la plus répandue affectait les versions antérieures à 0.21.0, affectant potentiellement 787 nœuds. Cette faille pourrait permettre la censure des transactions non confirmées et provoquer des fractionnements de réseau en raison d'ajustements de temps excessifs.

Three separate vulnerabilities affected versions before 0.20.0, each potentially impacting 182 nodes. These included a memory DoS from large inv-messages, a CPU-wasting DoS from malformed requests, and a memory-related crash when parsing BIP72 URIs.

Trois vulnérabilités distinctes affectaient les versions antérieures à la 0.20.0, chacune affectant potentiellement 182 nœuds. Ceux-ci comprenaient un DoS de mémoire provenant de gros messages inv, un DoS gaspillant le processeur dû à des requêtes mal formées et un crash lié à la mémoire lors de l'analyse des URI BIP72.

An unbound ban list CPU/memory DoS vulnerability (CVE-2020-14198) affected versions prior to 0.20.1, putting 185 nodes at risk. Earlier versions were susceptible to other attacks, such as a CPU DoS and node stalling from orphan handling (before 0.18.0, affecting 70 nodes) and a memory DoS using low-difficulty headers (before 0.15.0, impacting 29 nodes).

Une vulnérabilité DoS de CPU/mémoire de liste d'interdiction illimitée (CVE-2020-14198) affectait les versions antérieures à 0.20.1, mettant en danger 185 nœuds. Les versions antérieures étaient sensibles à d'autres attaques, telles qu'un DoS du processeur et le blocage des nœuds à cause de la gestion des orphelins (avant la version 0.18.0, affectant 70 nœuds) et un DoS de la mémoire utilisant des en-têtes de faible difficulté (avant la 0.15.0, affectant 29 nœuds).

The oldest vulnerabilities disclosed included a remote code execution bug in miniupnpc (CVE-2015-6031) affecting versions before 0.11.1 and a node crash DoS from large messages (CVE-2015-3641) in versions prior to 0.10.1. These affected 22 and 5 nodes, respectively, indicating that very few are still running such outdated software.

Les vulnérabilités les plus anciennes divulguées comprenaient un bug d'exécution de code à distance dans miniupnpc (CVE-2015-6031) affectant les versions antérieures à 0.11.1 et un crash DoS de nœud à partir de messages volumineux (CVE-2015-3641) dans les versions antérieures à 0.10.1. Celles-ci ont affecté respectivement 22 et 5 nœuds, ce qui indique que très peu d'entre eux exécutent encore des logiciels aussi obsolètes.

New Bitcoin developer disclosure policy

Nouvelle politique de divulgation des développeurs Bitcoin

The new policy categorizes vulnerabilities into four severity levels: low, medium, high, and critical. Low-severity bugs, which are difficult to exploit or have minimal impact, will be disclosed two weeks after a fixed version is released, with a pre-announcement made simultaneously.

La nouvelle politique classe les vulnérabilités en quatre niveaux de gravité : faible, moyen, élevé et critique. Les bugs de faible gravité, difficiles à exploiter ou ayant un impact minime, seront divulgués deux semaines après la sortie d'une version corrigée, avec une pré-annonce effectuée simultanément.

Medium and high-severity bugs, which have more significant impacts, will be disclosed two weeks after the last affected release reaches its end-of-life (EOL), typically one year after the fixed version is first released. A pre-announcement will be made two weeks before disclosure. Critical bugs threatening the network’s integrity will require an ad-hoc disclosure procedure.

Les bogues de gravité moyenne et élevée, qui ont des impacts plus importants, seront divulgués deux semaines après que la dernière version concernée ait atteint sa fin de vie (EOL), généralement un an après la première publication de la version corrigée. Une annonce préalable sera faite deux semaines avant la divulgation. Les bogues critiques menaçant l'intégrité du réseau nécessiteront une procédure de divulgation ad hoc.

The policy will be implemented gradually. All vulnerabilities fixed in Bitcoin Core versions 0.21.0 and earlier will be disclosed immediately. In July, vulnerabilities fixed in version 22.0 will be disclosed, followed by those fixed in version 23.0 in August. This process will continue until all EOL versions have been addressed.

La politique sera mise en œuvre progressivement. Toutes les vulnérabilités corrigées dans les versions 0.21.0 et antérieures de Bitcoin Core seront immédiatement divulguées. En juillet, les vulnérabilités corrigées dans la version 22.0 seront divulguées, suivies de celles corrigées dans la version 23.0 en août. Ce processus se poursuivra jusqu'à ce que toutes les versions EOL aient été traitées.

This initiative aims to set clear expectations for security researchers, incentivizing them to find and responsibly disclose vulnerabilities. By making security bugs available to a broader group of contributors, the policy seeks to prevent future issues and enhance the overall security of the Bitcoin network.

Cette initiative vise à définir des attentes claires pour les chercheurs en sécurité, en les incitant à rechercher et à divulguer de manière responsable les vulnérabilités. En mettant les bogues de sécurité à la disposition d'un groupe plus large de contributeurs, la politique vise à prévenir de futurs problèmes et à améliorer la sécurité globale du réseau Bitcoin.

According to the Bitcoin Development Mailing List, the policy’s gradual adoption will allow the community to adjust and provide feedback on its impact.

Selon la liste de diffusion Bitcoin Development, l'adoption progressive de la politique permettra à la communauté de s'adapter et de fournir des commentaires sur son impact.

Node operators still using affected versions are strongly advised to upgrade to the latest release to mitigate these potential risks.

Il est fortement conseillé aux opérateurs de nœuds qui utilisent encore les versions concernées de mettre à niveau vers la dernière version afin d'atténuer ces risques potentiels.