Author

Topic: Уязвимость в версиях 0.5-0.6 для Windows (Read 12914 times)

LZ
legendary
Activity: 1722
Merit: 1072
P2P Cryptocurrency
lzsaver, у вас есть разумные и вменяемые варианты решения этой фундаментальной проблемы
Есть. Но я предпочитаю не обсуждать, а действовать. Хоть и не всегда публично.

если, по вашему мнению, сеть уже терпит 'серьезную атаку' (о которой вы так ничего и не сказали) на ее 'свободу и независимость'.
Мне не нужно общественное мнение, что Bitcoin - очередной провал вроде RPOW.

Детский сад "ромашка".
Как частный случай приучения к дисциплине и подавления свободы? Да, это так.
legendary
Activity: 3108
Merit: 1359
Детский сад "ромашка".
legendary
Activity: 1120
Merit: 1069
Всем известно, что абсолютно любой децентрализованный проект имеет основополагающую 'уязвимость' своей децентрализации - разработчики, у вас есть варианты решения этой проблемы?

Кому то приходится доверять, и в данном случае - разработчикам в лице Гэйвина... Мало того, в случае с bitcoin есть еще крупнейшие пулы майнинга, в лице DeepBit/BtcGuild/Slush/Eligius - mtgox/..., которые так же имеют ощутимое влияние на проект в целом... остальная серая масса - не имеет значения (я еще не говорю про ряд других проектов, использующих bitcoin, так как их влияние на сеть хоть и сильное, но косвенное).

lzsaver, у вас есть разумные и вменяемые варианты решения этой фундаментальной проблемы, если, по вашему мнению, сеть уже терпит 'серьезную атаку' (о которой вы так ничего и не сказали) на ее 'свободу и независимость'.
LZ
legendary
Activity: 1722
Merit: 1072
P2P Cryptocurrency
BIP30 - это правильный фикс, не вызывающий сомнений.
Не спорю. Но с таким же успехом они могли бы протолкнуть и неправильный.
Нас никто не спрашивает, хотим ли мы. Просто нагло грохают старые версии.
Под шум критической уязвимости никто и не обратит внимание, что решение
теперь принимается новым Большим Братом, но не обычными пользователями.


UPD. Уже не считаю, что фикс был правильным (линк).
donator
Activity: 532
Merit: 501
We have cookies
Я с самого начала так решил. Очевидно, что это было прикрытие, чтобы протолкнуть BIP30.
BIP30 - это правильный фикс, не вызывающий сомнений.

Обратите внимание, что на http://bitcoin.org/critfix, ссылка на Bitcoin 0.6 расположена выше
ссылки на Bitcoin 0.5.3.1, такими вот нечестными путями они за одно проталкивают и BIP16.
Теперь-то что проталкивать, большинство уже набрано. Во-вторых я думаю что большинство мощных пулов и соло-майнеров работают НЕ под Windows, так что эта гипотеза не очень правдоподобна. Хотя, конечно, зловеща.
LZ
legendary
Activity: 1722
Merit: 1072
P2P Cryptocurrency
Я с самого начала так решил. Очевидно, что это было прикрытие, чтобы протолкнуть BIP30.
Обратите внимание, что на http://bitcoin.org/critfix, ссылка на Bitcoin 0.6 расположена выше
ссылки на Bitcoin 0.5.3.1, такими вот нечестными путями они за одно проталкивают и BIP16.
Пожалуй, я позволю себе в очередной раз посеять зернышки сомнения в ряды биткоинеров.

When I first heard about bitcoin, my questions were:
1) Can it possibly work (do the ideas for how it works make sense)?
2) Is it a scam?
3) If it is not a scam, could it open my computer up to viruses/trojans if I run it?

I'd strongly suggest that you:
1) Run the software in a virtual machine or on a machine that doesn't contain anything valuable.
2) Don't invest more money or time than you can afford to lose.
3) Use a different passphrase at every exchange site.

But I've said it before and I'll say it again:  don't trust me. I make mistakes.
legendary
Activity: 3108
Merit: 1359
Ну тогда это не уязвимость даже, а фигня какая-то. С чего так паниковать...
legendary
Activity: 1386
Merit: 1000
http://gavintech.blogspot.com/2012/03/full-disclosure-bitcoin-qt-on-windows.html

Quote
A major bug in Bitcoin-Qt on Windows went unnoticed for over four months. The bug was in the bitcoin-qt.pro file, in these two lines of code:

    windows:LIBS += -lws2_32 -lshlwapi
    windows:DEFINES += WIN32

See the bug?

I don't-- I can't see it, because the problem was Bitcoin-Qt on Windows should have been linked with the "mingw" multithreading library and compiled with the -D_MT to turn on support for multithread-safe C++ exception handling in the "mingw" library (you can see the 3-line fix here).

There might be developers reading this who have had experience writing multithreaded mingw-based C++ applications who will say "Duh! You guys are idiots, everybody knows that!"

If that's you and you're interested in Bitcoin:  we need people like you to help out! Review the code, review the build process, let us know when we're being idiots. There seem to be a lot fewer Windows developers willing to help out with Bitcoin than Linux or Mac developers, which is unfortunate since a majority of our downloads are Windows users.


Non-mingw-C++-multithreaded developers are reading this and thinking "the bug was THERE?  Not in some #ifdef WINDOWS C++ code or some slightly-out-of-date library that you were linking against?"


The other reason this bug went unnoticed for so long is because it almost never matters. Bitcoin-Qt doesn't throw a lot of exceptions normally, and most of the time the single-threaded-application exception support in mingw works just fine. I'm still not sure exactly what triggers the bug-- probably something like two threads throwing exceptions at the same time, or one thread being interrupted while in a try{} block and then resuming later and crashing because the exception handling code is in a different state.

Matt Corallo deserves a lot of credit for being persistent and finding the bug when investigating hard-to-reproduce reports of Bitcoin-Qt crashing sometimes when run with the -server flag and handling JSON-RPC requests. He was never able to get the code to crash when running outside of the debugger, which is typical of bugs related to multithreading. But he did see crashes not involving RPC requests, and that is why we consider this a critical issue and are telling everybody affected to upgrade immediately.

It it exploitable? Could an attacker craft bitcoin protocol messages that triggered the bug and compromised Windows computers? Has it already been exploited?

We don't know. We think it would be extremely difficult to craft a usable exploit, partly because it is hard to even trigger the bug reliably but also because Bitcoin-Qt has some security-in-depth to try to prevent this type of bug from becoming exploitable.

If we're very careful and extremely lucky, this will be the last time we have to tell users to shutdown and upgrade immediately because of some potential vulnerability. But there is no such thing as perfect security, and I expect that there will be another subtle bug either in Bitcoin or in one of the many libraries we link against that becomes a potential security issue.

That doesn't mean we give up and go back to paying each other with cowrie shells; it means we assume that devices get compromised and design around that assumption. I think that is a lesson that the entire software industry needs to learn better.
legendary
Activity: 3108
Merit: 1359
2 N.Z.

Завтра Вася Пупкин напишет клиент для онлайн-тетриса с переполнением стека и виноват тоже майкрософт будет? Если да, то такая логика гениальна. Grin Нет, я не говорю что винда супер и все остальное отстой, но не доходите до полного маразма же. Это просто повезло, что уязвимость проявляется только на отдельно взятой платформе, и только. Я уж не говорю о том, что эксплуатация подобных уязвимостей стала сильно осложненной в свете развития компиляторов и механизмов активной защиты типа DEP. Грохнуть процесс - нет проблем, выполнить код - большая проблема. C/C++ на любой платформе были и остаются C/C++. "Си — инструмент, острый, как бритва: с его помощью можно создать и элегантную программу, и кровавое месиво." (с) Керниган. Так что куда бы вы ни сбежали, пока юзаете написанный на C/C++ софт, за вами будут бегать и переполнения стека, ошибки форматирования строки и остальное.
sr. member
Activity: 427
Merit: 250
+1, чтоб забыть про винду для работы и серьезных (=финансовых) дел
full member
Activity: 209
Merit: 100
Какая красота. А в "правильных" версиях будет вставлен настоящий зонд?
hero member
Activity: 674
Merit: 500
То критический RDP exploit в Windows, то уязвимость в QT-версии Bitcoin...

Обновил на виндовой машине до 0.6rc4, проблем с апгрейдом не замечено.
hero member
Activity: 700
Merit: 503
Update is complete  Wink
Thx for the information.
donator
Activity: 532
Merit: 501
We have cookies
Найдена потенциальная критическая уязвимость в версиях Bitcoin-Qt от 0.5 до 0.6 для Windows. Если вы используете одну из этих версий, отключите её и обновитесь до 0.5.3.1 или 0.6rc4 немедленно.

Версия для командной строки, версии до 0.5, а также версии для Linux и MacOS не подвержены этой уязвимости.

Из-за сути проблемы мы считаем что злоумышленнику будет сложно сделать что-либо помимо завершения процесса Bitcoin-Qt с ошибкой, но поскольку есть теоретическая вероятность что это может вызвать удалённое выполнение кода, мы считаем эту уязвимость критической.

Если у вас есть какие-либо вопросы, обращайтесь на канал #bitcoin-dev сети Freenode.

Вы можете скачать обновлённые исполняемые файлы с SourceForge: 0.6 RC или 0.5.3.1
Jump to: