Author

Topic: ОБНОВИТЕСЬ ДО 0.9.1 (Read 1853 times)

full member
Activity: 187
Merit: 100
April 09, 2014, 08:41:23 AM
#27
По поводу лайта - комент с офф сайта от разработчиков:

I talked with Bitcoin devs about the openssl CVE-2014-0160 vulnerability that became public on April 7th, 2014.  It is believed that Bitcoin 0.9.0 official binaries from bitcoin.org is exposed only with the payment protocol and RPC SSL.  Bitcoin 0.8.x is exposed only with RPC SSL.

If the above is true, you are not vulnerable with Litecoin-Qt or litecoind 0.8.x under these circumstances:
You do not use RPC SSL as a client or server.  This is not enabled by default, and very few people use this.
If you built from source then you are probably dynamic linking to your system's openssl.  So if your system openssl is fixed for CVE-2014-0160 then you are likely fine.

Furthermore in #bitcoin-dev Tuesday, the Bitcoin Core developers talked about trying to reproduce an attack on Bitcoin RPC SSL that tries to extract secrets from memory.  In their attempts they were unable to extract anything different from a single 64KB chunk of memory that contained nothing important.  It is possible they missed something, but given that this feature is used by almost nobody the risk to Litecoin 0.8.x seems to be negligible.

There is a lot of bad advice out there about emptying your old addresses.  Doing so is harmless, but if the above analysis by the Bitcoin Developers is correct it is also useless.

https://litecointalk.org/index.php?topic=17974.0
Please help to test the next version of Litecoin to better validate a long list of bug fixes from the previous release.  We have no reason to rush this release.  We want to be sure no errors are made.

Краткая суть в том, что лайтовый кошелек не использует RPC SSL.
legendary
Activity: 1400
Merit: 1000
April 09, 2014, 08:21:25 AM
#26
Странно, но я не вижу обновлений для лайта, хотя там все подчистую слизано с битка...
Вот можно скачать исправленную версию litecoin кошелька(использует OpenSSL 1.0.1g 7 Apr 2014)
http://download1.rpmfusion.org/~warren/litecoin-0.8.6.9/

Вот исходники этой же версии: https://github.com/litecoin-project/litecoin/tree/exp-0.8.6.9
Комментарий разработчика( https://litecointalk.org/index.php?topic=18506.msg157073#msg157073 ):
Quote
In any case it's actually quite difficult to exploit 0.8.x because only RPC SSL is vulnerable and it is disabled by default.  In any case, please upgrade to v0.8.6.9 and help test the release candidate.
hero member
Activity: 560
Merit: 500
April 09, 2014, 08:05:28 AM
#25
Странно, но я не вижу обновлений для лайта, хотя там все подчистую слизано с битка...
кому нужен этот лайт, даже разработчику он был параллелен до взлета курса
legendary
Activity: 1876
Merit: 1000
April 09, 2014, 06:41:48 AM
#24
одно дело когда тебе рассказывают по тв3 про облучение пришельцами из космоса.
...
как-то глупо не воспринимать это всерьез.

Про тв3 согласен, поэтому для выноса мозга я предпочитаю ренТВ, с говорящей головой Прокопенко  Grin

Если ты и правда подозреваешь, что троянские кони следят за тобой, что мало чем отличается от облучения пришельцами, то не проще кошель с большей частью битков вывести в оффлайн?
legendary
Activity: 1596
Merit: 1011
April 09, 2014, 06:36:48 AM
#23
Странно, но я не вижу обновлений для лайта, хотя там все подчистую слизано с битка...
legendary
Activity: 1694
Merit: 1000
April 09, 2014, 06:04:37 AM
#22
господа ,скажите точно
создавать новый валлет или нет?

Ну хочешь я создам за тебя?  Cheesy
legendary
Activity: 1302
Merit: 1008
April 09, 2014, 05:59:56 AM
#21


 Cheesy
legendary
Activity: 1287
Merit: 1094
April 09, 2014, 05:57:06 AM
#20
господа ,скажите точно
создавать новый валлет или нет?
legendary
Activity: 1302
Merit: 1008
April 09, 2014, 05:19:33 AM
#19
Относится всерьез к таким "разоблачениям"...
одно дело когда тебе рассказывают по тв3 про облучение пришельцами из космоса.
а вот когда речь заходит про скромное финансирование СШП своего агенства по поиску и внедрению дырок в криптоалгоритмы (а как видишь по факту дырки годами присутствуют даже в открытом коде, и нехилые, и никому до этого дела нет, что уж там говорить про пропиетарный софт и крипточипы, особенно контролируемые корпорациями в тех же СШП) я этому охотно верю, и никакие сноудены тут не нужны.
не так уж и много нужно для этого, например почитай статейки Хомякова (упс  Cheesy, ладно будем считать что он Chikey) как он OAuth2 портил, вот эту или эту
возьмут пару таких чуваков на хороший оклад в президентах и расковыряют они любое решето.
а бюджет вполне позволяет их десятки содержать.
как-то глупо не воспринимать это всерьез.
legendary
Activity: 1876
Merit: 1000
April 09, 2014, 04:43:53 AM
#18
и можешь начинать подбирать фасон  Cheesy

Относится всерьез к таким "разоблачениям" от человека, обвиняемого в хищении государственной собственности ничем не отличается от мозгопромывок остальных известных шпионов-блоггеров, делающих себе на этом заработок и карьеру.

Хотя если нравятся подобные теории заговоров, то фасончик должен быть как минимум таким:



п.с. а теперь ожидаем вовика с его традиционными байками и разоблачениями АНБ, для продвижения своего несуществующего недокоина   Grin



legendary
Activity: 1302
Merit: 1008
April 09, 2014, 04:28:47 AM
#17
не удивлюсь если их туда специально коммитят штатные сотрудники АНБ  Grin

Шапочки из фольги снова актуальны как никогда  Grin

на, почитай
и можешь начинать подбирать фасон  Cheesy
legendary
Activity: 1876
Merit: 1000
April 09, 2014, 04:24:25 AM
#16
не удивлюсь если их туда специально коммитят штатные сотрудники АНБ  Grin

Шапочки из фольги снова актуальны как никогда  Grin
legendary
Activity: 1694
Merit: 1000
April 09, 2014, 04:23:27 AM
#15
не удивлюсь если их туда специально коммитят штатные сотрудники АНБ  Grin

Да, точно.. Рептилоиды не иначе... Ушел за попкорном...  Grin
legendary
Activity: 1302
Merit: 1008
April 09, 2014, 04:20:25 AM
#14
Не все так плохо.
баги такого уровня в криптографической библиотеке с открытым кодом (а еще можно заодно вспомнить недавнюю историю с дыркой в GnuTLS), да еще и висящие там годами по мне это сцуко очень плохо.

не удивлюсь если их туда специально коммитят штатные сотрудники АНБ  Grin
legendary
Activity: 1876
Merit: 1000
April 09, 2014, 04:20:09 AM
#13
Фикус, ты же свои битки на кредиты слил и новые ковры, тебе то чего боятся?  Grin
hero member
Activity: 798
Merit: 1000
April 09, 2014, 04:15:50 AM
#12
Где паник сел BTC  Smiley
Видимо хомяки уже адаптировались к постоянным проблемам. 

в данном случае хомяки - все кто пользовался openssl от 1.01 и выше.
счастливые пользователи виндовз тут тоже не в пролете - либа могла быть статически слинкована с любым приложением, как пример bitcoin-qt
Это любое приложение должно уметь использовать в этой библиотеке TLS/DTLS, а также heartbeat и выставлять это наружу, так что круг резко сужается. Не все так плохо.
legendary
Activity: 1302
Merit: 1008
April 09, 2014, 04:13:14 AM
#11
Где паник сел BTC  Smiley
Видимо хомяки уже адаптировались к постоянным проблемам. 

в данном случае хомяки - все кто пользовался openssl от 1.01 и выше.
счастливые пользователи виндовз тут тоже не в пролете - либа могла быть статически слинкована с любым приложением, как пример bitcoin-qt
hero member
Activity: 798
Merit: 1000
April 09, 2014, 04:12:00 AM
#10
тогда нужно менять всё, включая ос и wallet, пароли на всех сайтах, не использовать одинаковые пароли.

а ос тут причем? читать память могут только уязвимого приложения, в данном случае кошелька...

openssl используется не только в кошельке..
Это все понятно. Но менять (сиречь переустанавливать) ОС то зачем? В перечисленных оперционках это все лечится одной командой обновления пакетов. Ну разве что кроме Фряхи Нетбсд и Опенбсд. Там может быть понадобится вытянуть и пересобрать мир Smiley
legendary
Activity: 1876
Merit: 1000
April 09, 2014, 04:08:59 AM
#9
Где паник сел BTC  Smiley

Видимо хомяки уже адаптировались к постоянным проблемам. 
legendary
Activity: 1036
Merit: 1001
April 09, 2014, 04:03:09 AM
#8
Где паник сел BTC  Smiley
legendary
Activity: 1568
Merit: 1008
April 09, 2014, 02:51:23 AM
#7
Мда.  Undecided
legendary
Activity: 3556
Merit: 1100
April 09, 2014, 02:08:17 AM
#6
Неприятная новость. Sad
Если я правильно понимаю, то wallet тоже надо бы на новый поменять, так как никто же не даст гарантии, что старый зашифрованный файл кошелька кто-нибудь за всё это время не успел своровать про между прочим. А сейчас на эти устаревшие файлики "шакалы с падальщиками" могут охоту устроить, когда узнают как можно нужную информацию из него достать и чем-нибудь поживиться...
legendary
Activity: 1302
Merit: 1008
April 09, 2014, 01:33:42 AM
#5
тогда нужно менять всё, включая ос и wallet, пароли на всех сайтах, не использовать одинаковые пароли.

а ос тут причем? читать память могут только уязвимого приложения, в данном случае кошелька...

openssl используется не только в кошельке..

Quote
Some operating system distributions that have shipped with potentially vulnerable OpenSSL version:

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

тык
hero member
Activity: 798
Merit: 1000
April 09, 2014, 01:18:43 AM
#4
тогда нужно менять всё, включая ос и wallet, пароли на всех сайтах, не использовать одинаковые пароли.

а ос тут причем? читать память могут только уязвимого приложения, в данном случае кошелька...
legendary
Activity: 1286
Merit: 1004
April 09, 2014, 12:34:50 AM
#3
после обновления рекомендуется поменять все пароли
если был включен rpcssl
тогда нужно менять всё, включая ос и wallet, пароли на всех сайтах, не использовать одинаковые пароли.
legendary
Activity: 1302
Merit: 1008
April 08, 2014, 10:42:50 PM
#2
Мультибит не подвержен этой уязвимости?
вроде бы нет
хотя кто знает, здесь например пишут что OpenSSL была два года уязвима и везде где старая версия применяется возможны взломы.
после обновления рекомендуется поменять все пароли
legendary
Activity: 1302
Merit: 1008
April 08, 2014, 10:33:10 PM
#1
как написано в новостях выше из-за критического бага в OpenSSL ваши монеты могут быть украдены!
немедленно обновите клиент до 0.9.1
оф.сайт
обсуждение

после обновления рекомендуется поменять все пароли
Jump to: