Vulnérabilité hautement critique dans Bitcoin Core 24.0.1 et versions antérieures affectant 17 % des nœuds complets

Le 20 septembre, les développeurs de Bitcoin Core ont émis un nouvel avertissement à haut risque concernant une vulnérabilité logicielle dans un nœud Bitcoin sur six, a rapporté Protos. Jeudi, les membres du projet open-source Bitcoin Core, qui est responsable de la maintenance du logiciel fonctionnant sur plus de 98 % des nœuds complets accessibles, ont révélé que le logiciel fonctionnant sur 17 % des nœuds du réseau présente des problèmes de sécurité importants. Plus précisément, tous les logiciels en dessous de la version 24.0.1 de Bitcoin Core sont à risque. Selon les estimations de surveillance de Bitnodes, la vulnérabilité de déni de service affecte environ 3 330 des 19 200 agents utilisateurs auto-proclamés des nœuds Bitcoin Complets accessibles.

Dans le logiciel Bitcoin Core antérieur à la version 24.0.1, des acteurs malveillants pouvaient utiliser des chaînes d'en-têtes de faible difficulté pour spammer les nœuds. En forçant les nœuds à télécharger et stocker des chaînes d'en-têtes extrêmement longues, l'attaque pouvait faire planter le nœud en occupant trop de bande passante ou d'espace de stockage sur l'appareil. Les développeurs ont corrigé cette vulnérabilité dans la demande de tirage (PR) numéro 25717 de Bitcoin Core et l'ont intégrée en production le 12 décembre 2022 avec la version v24.0.1. La version actuelle du logiciel de nœud Bitcoin Core (maintenant 27.1) inclut des correctifs pour cette vulnérabilité et d'autres.

Bien que cette vulnérabilité soit assez sérieuse, il y a très peu de cas connus d'attaques dans les archives publiques exploitant cette vulnérabilité. Étant donné que le coût de génération et de diffusion d'une chaîne d'en-têtes de bloc pour effectuer une attaque par déni de service est assez élevé, cette vulnérabilité présente peu d'intérêt financier pour les attaquants.